「Androidの銀行アプリユーザーを狙うプログレッシブWebアプリに注意」
ESETは8月20日(現地時間)、「Be careful what you pwish for – Phishing in PWA applications」において、モバイルユーザーを標的とするフィッシングキャンペーンを発見したと報じました。このキャンペーンではプログレッシブWebアプリ(PWA: Progressive Web Apps)を使用することで悪意のあるアプリを隠蔽するとされています。
https://news.mynavi.jp/techplus/article/20240823-3010109/
出典:TECH+
<Androidユーザーを標的としたフィッシング>
初期アクセスに自動音声通話、ショートメッセージサービス(SMS: Short Message Service)、ソーシャルメディアのマルバタイジング(偽広告)などを悪用するそうです。音声通話では標的に古い銀行アプリのアップデートを促し、SMSではソーシャルエンジニアリングによるフィッシングサイトへの誘導が行われます。マルバタイジングではInstagramやFacebookの広告が悪用され、特定のターゲット層を銀行アプリに偽装したフィッシングサイトに誘導します。
いずれの場合も、銀行アプリのアップデートを求めることで悪意のあるアプリをインストールさせます。AndroidユーザーにはWebAPK形式(中身はPWA)のアプリを配信し、それ以外のユーザーにはPWA形式のアプリを配信します。
PWAとは:HTML、CSS、JavaScriptといったWeb技術を使用して構築されているアプリケーションで、1つのコードベースからすべてのデバイスにインストールして実行できます。
<プログレッシブWebアプリの使用目的>
今回のキャンペーンにおいて、攻撃者がPWAを採用した理由の1つは警告の回避とされています。ESETによると、Chromeはデフォルト設定でWebAPK形式のアプリのインストールを警告せず、iOSの場合もインストール方法をポップアップ表示するだけで警告されないそうです。
他にも通常のモバイルアプリのように動作させることが可能な点も理由の1つとされています。また、Androidの場合はアプリアイコンからWebブラウザーロゴを消せるため、通常のアプリと区別がつかず、ユーザーは不正なアプリと認識することが難しいとされています。
<影響と対策>
ESETの調査によると、本件キャンペーンの主な標的はチェコのモバイルユーザーとされています。攻撃者は2つの異なるコマンド&コントロール(C2: Command and Control)サーバを使用しており、ESETは2つの脅威グループによる活動ではないかと推測しています。
このキャンペーンでは初期アクセスに複数のフィッシング手法が用いられます。そのため、銀行アプリを使用するモバイルユーザーは、フィッシング対策のベストプラクティスを実践することが推奨されています。また、ESETは調査過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれています。
チェコのモバイルユーザーを狙っているとのことですが、日本向けの攻撃も起こり得ると思われます。
きっかけはありがちなフィッシング攻撃ですが、問題はPWAで実行されてしまうため、Chromeユーザーは気が付きづらいということです。いつの間にかアプリがインストールされ、被害に遭う可能性があります。
被害を防ぐためには、不審なSMSやメールを警戒することが一番と思われます。
今回は、銀行のアプリユーザーがターゲットになっているそうなのですが、契約済みの金融機関等はURLをブックマークに保存しておき、メールやSMSのリンクはアクセスに使わない等の工夫も必要です。
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
⇒ 専用ページはこちら
★-------------------------------------------★