注意: 悪質なアプリが新しいフィッシング手法で iOS と Android 上の銀行認証情報を盗んでいます

フィッシング攻撃の新たな波が出現し、iOS および Android のユーザーが重大なリスクにさらされています。セキュリティ企業の ESET は、標準的なセキュリティ対策を回避し、無数のユーザーの銀行認証情報を危険にさらす可能性のある高度なフィッシング手法について警鐘を鳴らしています。

サイバー犯罪者は、プログレッシブ ウェブ アプリケーション (PWA) と WebAPK (正規の銀行ソフトウェアを模倣するように設計された Web ベースのアプリケーション) を利用する欺瞞的な戦略を開発しました。これらの悪意のあるアプリは、本物のモバイル バンキング アプリのように見え、機能するように設計されていますが、その真の目的は機密情報を盗むことです。

iOS デバイスでは、ユーザーは PWA を信頼できるアプリケーションだと信じて、ホーム画面に追加するように騙されています。Android ユーザーは、さらに陰険な脅威である WebAPK に直面しています。これらのアプリケーションはネイティブ アプリを装い、通常のセキュリティ警告を一切表示せずに Google Play からダウンロードされたように見えます。驚くべきことに、ユーザーがサードパーティ アプリのインストールを許可していなくても、これらの WebAPK はそれらの設定を回避できるため、悪意のある意図がさらに不明瞭になります。

これらの不正アプリは、インストールされると、ユーザーの銀行口座にアクセスするように見せかけて、ユーザーに銀行の認証情報を入力するよう促します。入力されたすべての情報は、攻撃者のコマンド アンド コントロール (C&C) サーバーに即座に送信され、サイバー犯罪者が被害者の銀行口座に自由にアクセスできるようになります。

2023年後半に始まったとされる攻撃は、すでにチェコ共和国、ハンガリー、ジョージアのモバイルバンキングユーザーを標的にしている。しかし、このフィッシング戦術が世界中に広がる可能性は現実的であり、憂慮すべきものだ。ESETは、攻撃者がさらに多くの模倣アプリを開発する可能性があり、ユーザーが正規のアプリと不正なアプリを区別することがますます困難になると警告している。

この進化する脅威は、警戒と用心深さを強く呼び起こすものです。銀行アプリのインストールまたは更新を促すメッセージが表示されたら、公式チャネルを通じてそのアプリの信頼性を確認してください。あなたの経済的な安全は、そのアプリにかかっているかもしれません。