Gli attori delle minacce starebbero sfruttando la tecnologia WebAPK di Android per indurre gli utenti ignari a installare app Web malevole sui telefoni Android progettate per acquisire dati personali sensibili. Lo avverte lo CSIRT KNF in un suo rapporto.
WebAPK, lo ricordiamo, consente agli utenti di installare app Web nella schermata iniziale dei dispositivi Android senza dover utilizzare il Google Play Store ma direttamente dal browser.
Nella fattispecie lo CSIRT avrebbe condotto l’analisi dettagliata di un sito web segnalato dalla società di sicurezza informatica polacca RIFFSEC, che distribuirebbe un’applicazione che impersona la PKO Bank Polski, una multinazionale di servizi bancari e finanziari con sede a Varsavia.
La catena d’attacco
“L’attacco è iniziato con le vittime che ricevevano messaggi SMS che suggerivano la necessità di aggiornare un’applicazione di mobile banking. Il collegamento contenuto nel messaggio portava a un sito che utilizzava la tecnologia WebAPK per installare un’applicazione dannosa sul dispositivo della vittima. Fondamentalmente, il processo di installazione non ha attivato i tipici avvisi sulle installazioni da fonti non attendibili.“, affermano i ricercatori dello CSIRT KNF in una loro analisi.
Una volta installata, la falsa app bancaria (“org.chromium.webapk.a798467883c056fed_v2“) inviterebbe gli utenti a inserire credenziali e codici di autenticazione 2FA in realtà per carpirle.
Misure di contrasto
Per contrastare tali minacce, lo CSIRT KNF consiglia di bloccare i siti Web che utilizzano il meccanismo WebAPK evitando l’esecuzione di possibili attacchi di phishing.
Purtroppo, concludono gli esperti, “Una delle sfide nel contrastare tali attacchi è il fatto che le applicazioni WebAPK generano nomi di pacchetti e checksum diversi su ciascun dispositivo. Sono costruiti dinamicamente dal motore di Chrome, il che rende difficile l’utilizzo di questi dati come indicatori di compromissione (IoC). Inoltre, il rilevamento di tali applicazioni da parte dei sistemi antivirus è complesso e spesso impossibile“.
Il team ha pubblicato un video sul PoC condotto dallo CSIRT KNF per questa minaccia.
