ESET-onderzoekers hebben een ongewoon type phishingcampagne gevonden die is gericht op mobiele gebruikers. Ze analyseerden een in het wild waargenomen situatie die zich richtte op klanten van een prominente Tsjechische bank. Deze techniek is opmerkelijk omdat het een phishingapplicatie installeert vanaf een website van derden.
Dit is bijzonder omdat de gebruiker de installatie van apps van derden niet hoeft toe te staan. Op Android kon dit resulteren in de stille installatie van een speciaal soort APK, die zelfs geïnstalleerd lijkt te zijn vanuit de Google Play store. De dreiging was ook gericht op iOS-gebruikers.
De phishingwebsites die zich richten op iOS geven slachtoffers instructies om een Progressive Web Application (PWA) toe te voegen aan hun startscherm, terwijl op Android de PWA wordt geïnstalleerd na het bevestigen van aangepaste pop-ups in de browser. Op dit moment zijn deze phishing-apps op beide besturingssystemen grotendeels niet te onderscheiden van de echte bankieren-apps die ze imiteren, zegt ESET.
Malware stuurt NFC door naar criminelen
Vrijwel tegelijk ontdekten de onderzoekers een crimeware campagne ontdekt die gericht was op klanten van drie Tsjechische banken. De gebruikte malware, die ESET NGate heeft genoemd, heeft de unieke mogelijkheid om gegevens van betaalkaarten van slachtoffers door te sturen via een kwaadaardige app die op hun Android-apparaten is geïnstalleerd, naar de Android-telefoon van de aanvaller die is geroot. Het primaire doel van deze campagne was om ongeautoriseerde geldautomaatopnames van de bankrekeningen van de slachtoffers mogelijk te maken. Dit werd bereikt door NFC-gegevens (Near Field Communication) van de fysieke betaalkaarten van de slachtoffers via hun gecompromitteerde Android-smartphones met behulp van de NGate Android-malware door te sturen naar het apparaat van de aanvaller. De aanvaller gebruikte deze gegevens vervolgens om pintransacties uit te voeren. Als deze methode mislukte, had de aanvaller een noodplan om geld over te maken van de rekeningen van de slachtoffers naar andere bankrekeningen.
Slachtoffers downloadden en installeerden de malware nadat ze in de waan waren gebracht dat ze communiceerden met hun bank en dat hun apparaat was gecompromitteerd. In werkelijkheid hadden de slachtoffers zonder het te weten hun eigen Android-apparaten gecompromitteerd door eerder een app te downloaden en te installeren via een link in een misleidend sms-bericht over een mogelijke belastingaangifte.