ESET 研究人員發現了一種罕見的網絡釣魚活動，專門針對 Android 和 iPhone 用戶。他們分析了一個在野外觀察到的案例，該案例主要是針對一家著名的捷克銀行的客戶。

　　值得注意的是這種攻擊主要是從第三方網站安裝釣魚應用程序，而無需用戶主動安裝。這有可能導致使用安卓系統的用戶設備上會被隱秘安裝一種特殊的 APK，隱蔽性很高，很難發現，它看起來甚至有點像是用戶從 Google Play 商店安裝的。這種釣魚攻擊威脅也針對 iOS 用戶。

PWA 網絡釣魚流程(來源：ESET)

　　針對 iOS 的釣魚網站會指示受害者在主屏幕上添加漸進式網絡應用程序 (PWA)，而在 Android 上，PWA 是在瀏覽器中確認自定義彈出窗口后安裝的。在這一點上，這些釣魚應用程序與它們在這兩個操作系統上模仿的真實銀行應用程序基本沒有區別。

　　PWA 本質上是將網站捆綁到一個看似獨立的應用程序中，并通過使用本地系統提示增強了其虛假的獨立性。與網站一樣，PWA 也是跨平臺的，這就解釋了為什么這些 PWA 網絡釣魚活動可以既針對 iOS 又針對 Android 用戶。負責 ESET 品牌情報服務的 ESET 分析師在捷克觀察到了這種新技術，該服務可監控針對客戶品牌的威脅。

　　分析該威脅的 ESET 研究員 Jakub Osmani 表示：對于 iPhone 用戶來說，這種行為可能會打破任何有關安全的‘圍墻花園’假設。

　　ESET 發現使用電話、短信和惡意廣告的網絡釣魚欺詐行為

　　ESET 分析師發現了一系列針對移動用戶的網絡釣魚活動，這些活動分別使用了三種不同的 URL 發送機制，包括自動語音呼叫、短信和社交媒體惡意廣告。語音電話發送是通過自動呼叫完成的，該呼叫會警告用戶銀行應用程序已過期，并要求用戶在數字鍵盤上選擇一個選項。

　　按下正確的按鈕后，就會通過短信發送一個釣魚網址，正如一條推文所報道的那樣。最初的短信發送是通過向捷克電話號碼濫發信息來實現的。發送的信息包括一個釣魚鏈接和文本，目的是讓受害者通過社交工程訪問該鏈接。惡意活動通過 Instagram 和 Facebook 等 Meta 平臺上的注冊廣告進行傳播。這些廣告包括行動號召，比如為 “下載以下更新 ”的用戶提供限量優惠。

　　打開第一階段發送的 URL 后，Android 受害者會看到兩個截然不同的活動，一個是模仿目標銀行應用程序官方 Google Play 商店頁面的高質量釣魚頁面，另一個是該應用程序的山寨網站。受害者會被要求安裝 “新版 ”銀行應用程序。

　　WebAPK 繞過安全警告

　　這種網絡釣魚活動和方法之所以能夠得逞，完全得益于漸進式網絡應用程序的技術。簡而言之，漸進式網絡應用程序是使用傳統網絡應用程序技術構建的應用程序，可以在多個平臺和設備上運行。

　　WebAPK 可被視為漸進式網絡應用程序的升級版，因為 Chrome 瀏覽器會從 PWA(即 APK)生成本地 Android 應用程序。這些 WebAPK 看起來就像普通的本地應用程序。此外，安裝 WebAPK 不會產生任何 “從不可信來源安裝 ”的提示警告。

　　某小組曾嘗試通過 Telegram 官方 API 將所有輸入信息記錄到 Telegram 群組聊天中，而另一個小組則使用帶有管理面板的傳統命令與控制(C&C)服務器。Osmani 表示：根據這些活動使用了兩種不同的 C&C 基礎設施這一事實，我們確定是兩個不同的團伙在針對多家銀行實施 PWA/WebAPK 網絡釣魚活動。大多數已知案例都發生在捷克，只有兩個網絡釣魚應用程序出現在捷克境外(特別是匈牙利和格魯吉亞)。

　　ESET 的研究人員在調查中發現的所有披露在網上的敏感信息，銀行都已迅速跟進處理。ESET 方面也協助刪除了多個網絡釣魚域和 C&C 服務器。