當心：惡意應用程式正在透過新的網路釣魚技術竊取 iOS 和 Android 上的銀行憑證

新一波網路釣魚攻擊已經出現，使 iOS 和 Android 用戶面臨巨大風險。安全公司 ESET 對一種複雜的網路釣魚策略發出了警報，該策略繞過標準安全措施，可能會危及無數用戶的銀行憑證。

網路犯罪分子開發了一種欺騙策略，利用漸進式 Web 應用程式 (PWA) 和 WebAPK——旨在模仿合法銀行軟體的基於 Web 的應用程式。這些惡意應用程式的外觀和功能類似於真正的行動銀行應用程序，但它們的真正目的是竊取您的敏感資訊。

在 iOS 裝置上，用戶被欺騙將 PWA 添加到主螢幕，並相信它們是可信任的應用程式。 Android 用戶面臨更陰險的威脅：WebAPK。這些應用程式可以偽裝成本機應用程序，看起來像是從 Google Play 下載的，而不會觸發任何常見的安全警告。令人震驚的是，即使用戶不允許安裝第三方應用程序，這些 WebAPK 仍然可以繞過這些設置，進一步掩蓋他們的惡意意圖。

安裝後，這些詐騙應用程式會以存取其帳戶為幌子，提示使用者輸入銀行憑證。輸入的每個資訊都會立即發送到攻擊者的命令與控制 (C&C) 伺服器，使網路犯罪分子能夠不受限制地存取受害者的銀行帳戶。

據報道，這些攻擊始於 2023 年底，已經針對捷克共和國、匈牙利和喬治亞的行動銀行用戶。然而，這種網路釣魚策略在全球範圍內傳播的可能性是真實且令人擔憂的。 ESET 警告稱，攻擊者可能會開發更多山寨應用程序，使用戶越來越難以區分合法應用程式和詐欺應用程式。

這種不斷演變的威脅強烈提醒我們保持警惕和謹慎。如果您收到任何安裝或更新銀行應用程式的提示，請透過官方管道驗證其真實性。您的財務安全可能取決於此。