Os investigadores da ESET revelam que, ao longo dos últimos nove meses, foram detetadas campanhas de phishing que recorrem a novas formas para contornar as proteções integradas pela Apple e Google nos seus sistemas operativos e lojas de aplicações.
Os sistemas operativos e lojas de aplicações das duas gigantes tecnológicas contam com medidas de segurança concebidas para proteger os utilizadores e evitar casos de roubos de dados ou credenciais, No caso do iOS da Apple, a abordagem passa por bloquear a instalação de apps que não cumpram os requisitos da sua App Store, numa abordagem conhecida como ‘Walled Garden’ (jardim rodeado por muralhas, numa tradução livre para português). Por predefinição, o Android apenas permite apps da Play Store, mas é possível contornar isso através de sideloading, mesmo que a Google não recomende essa prática.
De acordo com a empresa de cibersegurança, o objetivo das campanhas de phishing passa por enganar os utilizadores e levá-los a instalar aplicações bancárias maliciosas que se fazem passar pelas versões oficiais. Ao serem instaladas pelas vítimas, as apps roubam as credenciais das contas e enviam essa informação para os hackers em tempo real através do Telegram.
Jakub Osmani, analista da ESET, explica que esta técnica se destaca de outras, porque permite a instalação de uma app de phishing a partir de um website de terceiros sem que o utilizador dê permissão para tal. “Para os utilizadores do iOS, esta ação pode quebrar quaisquer ideias de um ‘Walled Garden’ relativamente à segurança. No Android, isto pode resultar numa instalação silenciosa de um tipo especial de APK, que, numa análise mais aprofundada, até pode parecer ter sido feita a partir da Google Play”, realça.
A técnica tira partido de um tipo especial de aplicação, as Progressive Web Apps (PWAs), assim como de WebAPKs. O ataque começa com uma mensagem, chamada automática ou anúncio malicioso numa rede social onde o utilizador é levado a clicar num link, que o leva a uma página que se assemelha à App Store ou Google Play e onde é ‘convidado’ a descarregar a app com aparência oficial, avança o website ArsTechnica.
Até à data, a ESET registou casos de utilização desta técnica contra clientes de bancos na República Checa, assim como na Hungria e na Geórgia. Os investigadores alertam que a tática poderá ser replicada em mais campanhas de phishing com recurso a aplicações bancárias falsas.