Android/iOSの金融詐欺キャンペーンで使用された新しいフィッシング手法

執筆者

最近発見された高度なモバイルフィッシング手法が、チェコ共和国、ハンガリー、ジョージアにおける金融詐欺キャンペーンで確認された。

このフィッシング手法はプログレッシブ・ウェブ・アプリケーション（PWA）を悪用する。これらの種類のウェブアプリはネイティブアプリのような体験を提供し、AndroidとiOSの両デバイスで勢いを増している。

この手法が注目に値するのは、ユーザーがサードパーティ製アプリのインストールを許可しなくても、サードパーティのウェブサイトからフィッシングアプリケーションをインストールできる点だと、キャンペーンを検知したサイバーセキュリティ企業ESETは述べた。

この新しいフィッシング手法が可能なのは、PWAの動作の仕組みによるもので、モバイル端末でサードパーティのインストールをユーザーに許可させる必要を回避できる。

iOSでは、有名アプリケーションのランディングページになりすましたフィッシングサイトが、被害者にPWAをホーム画面へ追加するよう指示する。

ランディングページが用意される前に、脅威アクターは、PWAがどのように振る舞うかを規定するmanifestと呼ばれる単一ファイルで、標的のPWAをスタンドアロンとして定義した。これにより、PWAは通常のモバイルアプリのように動作する。

Android端末では、ブラウザ内のカスタムポップアップを確認した後にPWAがインストールされ、その結果、Web Android Package Kit（WebAPK）がサイレントにインストールされる。

WebAPKは、Androidの標準アプリケーションファイルであるAPKの特殊な種類で、ChromeブラウザがPWAからネイティブのAndroidアプリケーションを生成するため、PWAの強化版と見なすことができる。

ESETはさらに、検知されたフィッシングキャンペーンの一環としてインストールされたWebAPKが、Google Playストアから直接インストールされたように見えていたとも付け加えた。

この手法は、ポーランドの金融セクターに特化したコンピュータセキュリティ・インシデント対応チームであるCSIRT KNFによって、2023年7月に初めて公開された。

2023年11月、ESETは、同じ手法を標準的なフィッシング配布手法と併用し、複数のチェコの銀行、ハンガリーのOTP銀行、ジョージアのTBC銀行を標的とするモバイルフィッシングキャンペーンを観測した。

これらのフィッシングキャンペーンでは、URLの配布に3つの異なる仕組みが用いられた。

音声通話による配布：自動音声通話が、銀行アプリが古いことをユーザーに警告し、テンキーで選択肢を選ぶよう求める。正しいボタンを押すと、フィッシングURLがSMSで送信される
SMSによる配布：フィッシングリンクを含むテキストメッセージが、チェコの電話番号に無差別に送信された
マルバタイジングによる配布：「以下から更新をダウンロードしたユーザー向けの期間限定オファー」など、行動喚起を含む広告が、InstagramやFacebookといったMetaのプラットフォームに登録された

すべての悪意あるリンクはフィッシングサイトへ誘導し、被害者に銀行アプリケーションの「新しいバージョン」をインストールするよう促した。

「私たちは2023年11月上旬にPWA経由のフィッシングの最初の事例を発見し、2023年11月中旬にはWebAPKへの移行に気づいた」とESETの研究者は述べた。

「フィッシングアプリケーションから情報を受け取っていたコマンド＆コントロール（C2）サーバーは2024年3月に初めて発見され、その中のデータから、それ以前はおそらく稼働していなかったことが確認された。」

これらのC2サーバーとバックエンドのインフラに基づき、研究者は2つの異なる脅威アクターがキャンペーンを運用していたと結論づけた。

ESETは標的となった銀行に通知した。