Pelaku mulai menggunakan Progresive Web Application (PWA) untuk meniru aplikasi perbankan dan melakukan pencurian kredensial pengguna Android dan iOS.
Progresive Web Application (PWA) adalah aplikasi lintas platform yang dapat diinstal langsung dari browser dan menawarkan pengalaman seperti aplikasi asli melalui fitur-fitur seperti pemberitahuan push, akses ke perangkat keras perangkat, dan sinkronisasi data latar belakang.
Penggunaan jenis aplikasi ini dalam kampanye phising memungkinkan untuk:
- Penghindaran deteksi.
- Melewati batasan instalasi aplikasi.
- Mendapatkan akses ke izin berisiko pada perangkat tanpa harus memberikan perintah standar kepada pengguna yang dapat menimbulkan kecurigaan.
Teknik ini pertama kali diamati pada bulan Juli 2023, sementara operasi berikutnya yang diluncurkan pada bulan November tahun yang sama.
ESET melaporkan bahwa saat ini mereka melacak dua operasi berbeda yang mengandalkan teknik ini,
- Menargetkan lembaga keuangan Hungaria OTP Bank
- Menargetkan TBC Bank di Georgia.
Namun, kedua operasi tersebut tampaknya dioperasikan oleh pelaku yang berbeda. Yang satu menggunakan infrastruktur perintah dan kontrol (C2) yang berbeda untuk menerima kredensial yang dicuri, sementara kelompok lainnya mencatat data yang dicuri melalui Telegram.
Baca juga: Akses Kredensial |
Rantai Infeksi
ESET mengatakan bahwa operasi tersebut mengandalkan berbagai metode untuk menjangkau audiens target mereka.
Termasuk panggilan otomatis, pesan SMS (smishing), dan malvertising yang dirancang dengan baik pada kampanye iklan Facebook.
Dalam dua kasus pertama, penjahat dunia maya mengelabui pengguna dengan pesan palsu tentang aplikasi perbankan mereka yang sudah ketinggalan zaman.
Dan perlunya menginstal versi terbaru demi alasan keamanan, dengan memberikan URL untuk mengunduh PWA phising.
Dalam kasus iklan jahat di media sosial, pelaku menggunakan maskot resmi bank yang ditiru untuk menimbulkan rasa legitimasi.
Dan mempromosikan penawaran waktu terbatas seperti hadiah uang untuk menginstal pembaruan aplikasi yang dianggap penting.
Bergantung pada perangkat (diverifikasi melalui header HTTP User-Agent), mengklik iklan akan membawa korban ke halaman Google Play atau App Store palsu.
Mengeklik tombol ‘Instal’ meminta pengguna untuk menginstal PWA berbahaya yang menyamar sebagai aplikasi perbankan.
Dalam beberapa kasus di Android, aplikasi berbahaya diinstal dalam bentuk WebAPK – APK asli yang dibuat oleh peramban Chrome.
Aplikasi phising menggunakan pengenal aplikasi perbankan resmi (misalnya logo layar masuk yang tampak sah) dan bahkan menyatakan Google Play Store sebagai sumber perangkat lunak aplikasi.
Baca juga: Serangan Phising Kredensial |
Daya Tarik Penggunaan PWA di Ponsel
PWA dirancang untuk bekerja di berbagai platform, sehingga pelaku dapat menargetkan audiens yang lebih luas melalui satu kampanye dan payload phising.
Namun, manfaat utamanya terletak pada pengabaian pembatasan instalasi Google dan Apple untuk aplikasi di luar toko aplikasi resmi.
Serta perintah peringatan “instal dari sumber yang tidak dikenal” yang dapat memperingatkan korban tentang potensi risiko.
PWA dapat meniru tampilan dan nuansa aplikasi asli secara dekat, terutama dalam kasus WebAPK, di mana logo peramban pada ikon dan antarmuka peramban dalam aplikasi disembunyikan, sehingga membedakannya dari aplikasi yang sah hampir mustahil.
Aplikasi web ini dapat mengakses berbagai sistem perangkat melalui API browser, seperti geolokasi, kamera, dan mikrofon, tanpa memintanya dari layar izin OS seluler.
Pada akhirnya, PWA dapat diperbarui atau dimodifikasi oleh pelaku tanpa interaksi pengguna, yang memungkinkan operasi phising disesuaikan secara dinamis untuk mencapai keberhasilan yang lebih besar.
Penyalahgunaan PWA untuk phising merupakan tren baru yang berbahaya yang dapat meningkat seiring dengan semakin banyaknya penjahat dunia maya yang menyadari potensi dan manfaatnya.
Beberapa bulan yang lalu, dilaporkan tentang perangkat phising baru yang menargetkan akun Windows menggunakan PWA.
Perangkat tersebut dibuat oleh peneliti keamanan mr.d0x secara khusus untuk menunjukkan bagaimana aplikasi ini dapat digunakan untuk mencuri kredensial dengan membuat formulir login perusahaan yang meyakinkan.
Peneliti keamanan telah menghubungi Google dan Apple untuk menanyakan apakah mereka berencana untuk menerapkan pertahanan apa pun terhadap PWA/WebAPK.
Demikian topik bahasan kali ini mengenai pencurian kredensial pengguna Android dan iOS, semoga informasi tersebut dapat bermanfaat bagi pembaca.
Sumber berita: