Pass på: Ondsinnede apper stjeler banklegitimasjon på iOS og Android gjennom ny phishing-teknikk

En ny bølge av phishing-angrep har dukket opp, og setter iOS- og Android-brukere i betydelig risiko. ESET, et sikkerhetsfirma, har slått alarm på en sofistikert phishing-taktikk som omgår standard sikkerhetstiltak, og potensielt kompromitterer banklegitimasjonen til utallige brukere.

Nettkriminelle har utviklet en villedende strategi som bruker progressive webapplikasjoner (PWA) og WebAPK-er – nettbaserte applikasjoner designet for å etterligne legitim bankprogramvare. Disse ondsinnede appene er designet for å se ut og fungere som ekte mobilbankapper, men deres sanne formål er å stjele sensitiv informasjon.

På iOS-enheter blir brukere lurt til å legge til PWA-er på hjemmeskjermene sine, og tror at de er pålitelige applikasjoner. Android-brukere står overfor en enda mer lumsk trussel: WebAPK-er. Disse appene kan utgi seg som opprinnelige apper, og ser ut til å være lastet ned fra Google Play uten å utløse noen av de vanlige sikkerhetsadvarslene. Sjokkerende nok, selv om en bruker ikke har tillatt installasjon av tredjepartsapper, kan disse WebAPK-ene fortsatt omgå disse innstillingene, noe som ytterligere skjuler deres ondsinnede hensikter.

Når de er installert, ber disse uredelige appene brukerne om å skrive inn banklegitimasjonen sin under dekke av å få tilgang til kontoene deres. Hver del av informasjonen som legges inn blir umiddelbart sendt til angripernes kommando-og-kontroll-servere (C&C), noe som gir nettkriminelle uhindret tilgang til ofrenes bankkontoer.

Angrepene, som angivelig begynte i slutten av 2023, har allerede rettet mobilbankbrukere i Tsjekkia, Ungarn og Georgia. Potensialet for denne phishing-taktikken for å spre seg globalt er imidlertid reelt og alarmerende. ESET advarer om at angriperne sannsynligvis vil utvikle flere kopieringsapplikasjoner, noe som gjør det stadig vanskeligere for brukere å skille mellom legitime og uredelige apper.

Denne trusselen i utvikling fungerer som en sterk påminnelse om å være årvåken og forsiktig. Hvis du mottar spørsmål om å installere eller oppdatere en bankapp, må du bekrefte ektheten via offisielle kanaler. Din økonomiske sikkerhet kan avhenge av det.