Attenzione: le app dannose rubano le credenziali bancarie su iOS e Android tramite una nuova tecnica di phishing
È emersa una nuova ondata di attacchi di phishing, che mette a rischio significativo gli utenti iOS e Android. ESET, un'azienda di sicurezza, ha lanciato l'allarme su una sofisticata tattica di phishing che aggira le misure di sicurezza standard, compromettendo potenzialmente le credenziali bancarie di innumerevoli utenti.
I criminali informatici hanno sviluppato una strategia ingannevole che utilizza Progressive Web Applications (PWA) e WebAPK, applicazioni basate sul Web progettate per imitare software bancari legittimi. Queste app dannose sono progettate per apparire e funzionare come app bancarie mobili genuine, ma il loro vero scopo è rubare le tue informazioni sensibili.
Sui dispositivi iOS, gli utenti vengono ingannati e aggiunti alle loro schermate iniziali, credendo che siano applicazioni affidabili. Gli utenti Android affrontano una minaccia ancora più insidiosa: le WebAPK. Queste applicazioni possono mascherarsi da app native, sembrando scaricate da Google Play senza attivare nessuno dei soliti avvisi di sicurezza. Incredibilmente, anche se un utente non ha consentito l'installazione di app di terze parti, queste WebAPK possono comunque bypassare quelle impostazioni, oscurando ulteriormente il loro intento malevolo.
Una volta installate, queste app fraudolente chiedono agli utenti di immettere le proprie credenziali bancarie con il pretesto di accedere ai propri conti. Ogni informazione immessa viene immediatamente inviata ai server di comando e controllo (C&C) degli aggressori, dando ai criminali informatici accesso illimitato ai conti bancari delle vittime.
Gli attacchi, che secondo quanto riferito sono iniziati alla fine del 2023, hanno già preso di mira gli utenti di mobile banking nella Repubblica Ceca, in Ungheria e in Georgia. Tuttavia, il potenziale di questa tattica di phishing di diffondersi a livello globale è reale e allarmante. ESET avverte che è probabile che gli aggressori sviluppino più applicazioni imitatrici, rendendo sempre più difficile per gli utenti distinguere tra app legittime e fraudolente.
Questa minaccia in evoluzione serve come un duro promemoria per essere vigili e cauti. Se ricevi richieste di installazione o aggiornamento di un'app bancaria, verificane l'autenticità tramite canali ufficiali. La tua sicurezza finanziaria potrebbe dipendere da questo.
