Nell’ambito delle campagne phishing, gli esperti di sicurezza hanno individuato una nuova e preoccupante strategia attuata da hacker e cybercriminali vari.
Questa permette di eludere facilmente le protezioni preparate da Apple e da Google per proteggere gli utenti iOS e Android. Entrambi i sistemi operativi possono contare sul supporto di meccanismi che bloccano app sospette. Di fatto, tali sistemi evitano i furti di informazioni personali, di password o di altri dati potenzialmente sensibili.
Da una parte vi è iOS, che impedisce l’installazione di software che non proviene dall’App Store e, in modo simile, su Android l’installazione di app al di fuori di Google Play (attraverso la pratica nota come sideloading) viene ampiamente sconsigliata.
Per aggirare queste forme di difesa, i malintenzionati spingono gli utenti a installare un tipo di app particolare nota come Progressive Web App (PWA). Questi software si basano sugli standard Web, non risultando agli occhi dei OS come un’app vera e propria (dunque non sottostando alle suddette regole) lavorando tramite browser.
La tecnica phishing tramite Progressive Web App preoccupa gli esperti di sicurezza
A livello pratico, per iOS e Android, le PWA vengono considerate come attività interne al browser, dunque ritenute attendibili. Attraverso esse, i cybercriminali propongono annunci o banner dannosi e, con un semplice clic, gli stessi avviano l’infezione vera e propria.
In altri casi, tramite PWA viene chiesto di installare una “nuova versione” dell’app, spingendo eventualmente verso il download di un file APK (in ambiente Android). Su iOS, invece la PWA va a replicare, tramite pop-up, parti dell’interfaccia di sistema per spingere l’utente verso il clic e il relativo download di un agente malevolo.
Una volta infettato il sistema con un malware, questo tende a rubare dati sensibili e a inviare gli stessi tramite Telegram a chi gestisce la campagna. Come spiegato da Jakub Osmani, analista della società di sicurezza ESET, questa pratica è molto pericolosa, spiegando come qualunque tipo di precauzione su iOS e Android per evitare l’installazione di app esterne sembra essere facilmente aggirata attraverso le PWA.
Stando a quanto affermato da ESET, questa tecnica è finora stata utilizzata nel contesto della Repubblica Ceca, con sporadici casi in Ungheria e Georgia. Vista l’efficacia è però prevedibile che presto questo tipo di attacco possa espandersi anche in altre zone.