Um pesquisador de segurança descobriu um ataque de phishing com a intenção de enganar usuários do iPhone e fazê-los instalar o que supostamente é uma atualização do aplicativo bancário.
O ataque funciona apesar das proteções do iOS porque o que está realmente sendo “instalado” é um aplicativo da internet progressivo, que não envolve nenhuma verificação ou avisos da App Retailer…
Aplicativos Internet Progressivos (PWAs)
Os aplicativos da internet progressivos são essencialmente websites que parecem e agem como aplicativos. Na verdade, quando o iPhone foi lançado pela primeira vez em 2007, os PWAs eram os apenas maneira de um desenvolvedor terceirizado lançar um aplicativo.
O cofundador da Apple, Steve Jobs, disse o seguinte sobre eles na época:
O mecanismo Safari completo está dentro do iPhone. E assim, você pode escrever aplicativos Internet 2.0 e Ajax incríveis que parecem e se comportam exatamente como aplicativos no iPhone. E esses aplicativos podem se integrar perfeitamente com os serviços do iPhone. Eles podem fazer uma chamada, podem enviar um e-mail, podem procurar um native no Google Maps.
E adivinha? Não há SDK que você exact! Você tem tudo o que precisa se souber como escrever aplicativos usando os padrões da internet mais modernos para escrever aplicativos incríveis para o iPhone hoje. Então, desenvolvedores, achamos que temos uma história muito authorized para vocês. Vocês podem começar a construir seus aplicativos para iPhone hoje.
A Apple emblem percebeu que os aplicativos nativos do iPhone proporcionariam uma experiência melhor, e a App Retailer nasceu um ano depois, mas você ainda pode usar PWAs hoje em dia.
Ataques de phishing com atualizações falsas de aplicativos bancários
A empresa de segurança cibernética ESET descobriu que PWAs estão sendo usados para atingir usuários de Android e iPhone. Os ataques estão sendo feitos por uma variedade de métodos, incluindo textos, anúncios em mídias sociais e chamadas de voz.
A entrega da chamada de voz é feita por meio de uma chamada automatizada que avisa o usuário sobre um aplicativo bancário desatualizado e pede que ele selecione uma opção no teclado numérico. Após pressionar o botão correto, uma URL de phishing é enviada por SMS (…)
Os websites de phishing direcionados ao iOS instruem as vítimas a adicionar um Progressive Internet Utility (PWA) às suas telas iniciais, enquanto no Android o PWA é instalado após a confirmação de pop-ups personalizados no navegador. Neste ponto, em ambos os sistemas operacionais, esses aplicativos de phishing são amplamente indistinguíveis dos aplicativos bancários reais que eles imitam.
Depois que o usuário faz login no aplicativo falso, ele captura seus detalhes de login e os envia ao invasor.
Proprietários de iPhone podem correr um risco specific, pois muitos presumem que seus dispositivos estão protegidos contra malware.
Para usuários do iOS, um pop-up animado instrui as vítimas sobre como adicionar o PWA de phishing à tela inicial. O pop-up copia a aparência dos prompts nativos do iOS. No ultimate, nem mesmo os usuários do iOS são avisados sobre adicionar um aplicativo potencialmente prejudicial ao telefone.
Os exemplos vivos vistos na natureza até agora têm como alvo usuários tchecos e húngaros, mas as mesmas técnicas podem ser facilmente usadas globalmente.
Como se proteger
Sempre trate qualquer comunicação reivindicada do seu banco com suspeita, seja uma mensagem de texto, e-mail ou chamada de voz. A abordagem mais segura é sempre desligar e ligar para o seu banco em um número genuíno conhecido (como o impresso no seu extrato bancário ou cartão de pagamento) para verificar qualquer informação que você tenha recebido antes de agir com base nela.
Qualquer atualização genuína de um aplicativo bancário estará disponível na App Retailer.
Through Macworld. Imagem: 9to5Mac composite usando foto de Anton no Unsplash.
