Новый способ кражи данных: хакеры используют WebAPK для распространения вредоносных приложений на Android

Злоумышленники используют технологию Android WebAPK , чтобы заставить пользователей устанавливать на Android-смартфоны вредоносные веб-приложения, предназначенные для сбора конфиденциальной личной информации. Об этом сообщили специалисты группы реагирования на инциденты компьютерной безопасности Польши (Computer Security Incident Response Team, CSIRT KNF), передает Securitylab.

Атака началась с того, что жертвы получили SMS-сообщения с предложением обновить приложение мобильного банкинга. Ссылка в сообщении вела на сайт, использующий технологию WebAPK для установки вредоносного приложения на устройство жертвы. Приложение выдает себя за крупнейший банк Польши PKO Bank Polski. Подробностями кампании впервые поделилась польская фирма по кибербезопасности RIFFSEC.

WebAPK позволяет пользователям устанавливать прогрессивные веб-приложения (Progressive Web App, PWA) на домашний экран Android-устройств без скачивания приложения из магазина Google Play.

Как объясняет Google, при установке PWA из браузера Google Chrome, используя WebAPK, сервер минтинга «чеканит» (пакеты) и подписывает APK для PWA. Когда APK готов, браузер автоматически устанавливает приложение на устройство пользователя. Поскольку доверенные поставщики (Google Play Services или Samsung) подписали APK, телефон устанавливает его, не отключая систему безопасности.

После установки поддельное банковское приложение («org.chromium.webapk.a798467883c056fed_v2») предлагает пользователю ввести свои учетные данные и токены двухфакторной аутентификации (2FA), что фактически приводит к их краже.

По словам специалистов, одной из проблем противодействия таким атакам является тот факт, что приложения WebAPK генерируют разные имена пакетов и контрольные суммы на каждом устройстве. Они динамически создаются движком Chrome, что затрудняет использование этих данных в качестве индикаторов компрометации (IoC).