Android和iOS設備小心 新型釣魚攻擊來襲

編譯/Cynthia

近期,捷克、匈牙利和喬治亞發現一種複雜的行動釣魚技術,這種技術利用漸進式網頁應用程式(PWA),並在AndroidiOS設備上逐漸擴散。漸進式網頁應用程式,是一種可以提供類似原來應用程式體驗的網頁應用,攻擊者藉此繞過傳統應用程式安裝的限制,直接在受害者的設備上,安裝釣魚應用程式。這種手法提高釣魚攻擊的隱蔽性,也讓防範變得更加困難。

近期一種複雜的行動釣魚技術出現,這種技術利用漸進式網頁應用程式,並在Android和iOS設備上逐漸擴散。
近期一種複雜的行動釣魚技術出現,這種技術利用漸進式網頁應用程式,並在Android和iOS設備上逐漸擴散。(圖/123RF)

技術亮點

這種新釣魚手法亮點,是它不需要使用者允許第三方應用程式的安裝,能直接從第三方網站安裝釣魚應用程式。這突破傳統的應用安裝限制,使得釣魚攻擊更加隱蔽。根據ESET資安公司的報告,這些攻擊利用漸進式網頁應用程式技術,可以直接在目標設備上安裝不明應用程式,進一步提升攻擊的危害性。

更多新聞:注意!文件共享服務遭釣魚攻擊 暴增350%

iOS與Android的不同手法

在iOS平台上,攻擊者會利用釣魚網站,假冒知名應用程式的登入畫面,誘使受害者將漸進式網頁應用程式添加到主畫面。這些漸進式網頁應用程式看似獨立,實際上模擬原來行動應用的行為,使得受害者難以識別。

對於Android設備,攻擊者則通過瀏覽器彈出的自定義對話框來確認安裝,靜默地將漸進式網頁應用程式安裝為WebAPK。WebAPK是升級版的漸進式網頁應用程式,可以更好地模擬原來應用程式,並且由Chrome瀏覽器生成,增加攻擊的隱蔽性。

釣魚活動的攻擊範圍與手法

這些釣魚活動主要針對捷克、匈牙利和喬治亞的多家銀行,顯示出其目標範圍之廣。攻擊者採用三種主要的URL連結傳遞方式來散佈釣魚連結,首先是語音通話,透過自動化的電話警告用戶其銀行應用過時,並要求用戶在數字鍵盤上選擇選項,隨後發送釣魚連結。其次是簡訊,直接發送含有釣魚連結的簡訊給用戶電話號碼。最後是惡意廣告,通過Meta平台上的廣告誘惑用戶下載「更新」,進一步擴大攻擊範圍。

研究結果與未來展望

ESET於2023年11月首次發現這種新的釣魚手法,並在同年中旬注意到WebAPK的應用變化。研究人員推測,這些釣魚活動可能涉及兩個不同的威脅行為者,顯示出攻擊者之間可能存在合作或資訊共享。ESET已經通知受影響的銀行,並建議他們加強防範措施,以應對這項新興威脅。隨著漸進式網頁應用程式技術的普及,這類釣魚手法可能會變得更加普遍,因此資安防護需要持續更新,以應對未來的挑戰。

資料來源:Infosecurity Magazine

※探索職場,透視薪資行情,請參考【科技類-職缺百科】幫助你找到最適合的舞台!

瀏覽 259 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button