Un recente studio condotto da ESET ha scoperto una campagna di phishing che sfrutta le Progressive Web Applications (PWA) per colpire utenti mobile, principalmente in Europa. Questa tecnica innovativa consente agli attaccanti di installare applicazioni malevole sui dispositivi delle vittime senza dover richiedere l’autorizzazione per installare app di terze parti. L’operazione è stata identificata in vari paesi, con attacchi documentati contro banche in Repubblica Ceca, Ungheria e Georgia.
La tecnica di Phishing PWA
Gli attaccanti distribuiscono le applicazioni malevole utilizzando vari metodi di consegna, tra cui chiamate vocali automatizzate, messaggi SMS e malvertising sui social media. Gli utenti vengono indotti a installare una PWA che imita l’applicazione bancaria legittima, o su Android, una WebAPK, un tipo di applicazione che viene riconosciuta dal sistema come installata dal Google Play Store, rendendo difficile per le vittime riconoscere la frode.
Una volta installata, la PWA o WebAPK appare come una normale app bancaria, ma in realtà cattura e invia le credenziali bancarie della vittima ai server di comando e controllo degli attaccanti. Questa tecnica sfrutta la mancanza di avvisi durante l’installazione delle PWA, ingannando gli utenti che non sospettano di nulla.
Impatto e risposta
ESET ha segnalato le applicazioni phishing ai rispettivi istituti bancari, contribuendo a mitigare l’impatto di questi attacchi. Tuttavia, la sofisticazione della tecnica e la capacità degli attaccanti di adattarsi rapidamente rappresentano una minaccia crescente. Le organizzazioni devono rafforzare le loro misure di sicurezza, monitorare le attività sospette e educare gli utenti sull’uso sicuro delle applicazioni mobile.
Questa campagna di phishing attraverso PWA evidenzia i rischi legati all’uso di nuove tecnologie che, sebbene offrano vantaggi in termini di accessibilità e compatibilità, possono anche essere sfruttate in modo malevolo. È fondamentale che gli utenti siano consapevoli di questi rischi e adottino misure preventive per proteggere i loro dispositivi e dati personali.
