Un nouveau type de campagne de phishing, ciblant des utilisateurs mobiles vient d’être identifié. La technique consiste à installer une application de phishing depuis un site Web tiers sans que l’utilisateur ait à autoriser l’installation de l’appli. Attention, danger.
Sur Android, cela peut entraîner l’installation silencieuse d’un type spécial d’APK, qui semble être installé à partir du Google Play Store. La menace visait également les utilisateurs d’iPhone (iOS), annoncent les chercheurs de l’éditeur ESET.
Les sites Web de phishing ciblant l’iOS demandent aux victimes d’ajouter une appli web progressive (PWA) à leur écran d’accueil, tandis que sur Android, la PWA est installée après confirmation des fenêtres contextuelles personnalisées dans le navigateur.
À ce stade, sur les deux systèmes d’exploitation, ces applis de phishing sont quasi impossibles à distinguer des applis bancaires réelles qu’elles imitent. Les PWA sont essentiellement des sites Web regroupés dans ce qui semble être une appli autonome, impression renforcée par l’utilisation d’invites système natives.
Les PWA, tout comme les sites web, sont multi plates-formes, ce qui explique comment ces campagnes de phishing PWA peuvent cibler à la fois les utilisateurs iOS et Android. « Pour les utilisateurs d’un iPhone, ce genre d’action pourrait balayer toutes les hypothèses de ‘domaine clos’ en matière de sécurité », nous explique Jakub Osmani, le chercheur d’ESET qui a analysé la menace.
Cette série de campagnes de phishing utilise trois mécanismes de diffusion d’URL. Les mécanismes comprennent des appels vocaux automatisés, des messages SMS et des publicités malveillantes sur les réseaux sociaux. Après l’ouverture de l’URL fournie lors de la première étape, les victimes Android se voient proposer deux campagnes distinctes : soit une page de phishing de haute qualité imitant la page officielle dans la boutique Google Play de l’appli bancaire visée, soit un site Web imitant cette appli. Ensuite les victimes sont invitées à installer une « nouvelle version » de l’appli bancaire.
La campagne et la méthode de phishing ne sont possibles qu’avec la technologie des applis web progressives. Les PWA sont des applis créées à l’aide de technologies d’applis Web traditionnelles pouvant fonctionner sur plusieurs plates-formes et appareils. Les WebAPK doivent être considérés comme une version améliorée des applis web progressives, car le navigateur Chrome génère une appli Android native à partir d’une PWA, autrement dit, un APK. Ces WebAPK ressemblent à des applis natives classiques. Par ailleurs, l’installation d’un WebAPK ne génère aucun avertissement « installation à partir d’une source non fiable ». L’appli sera donc installée même si l’installation à partir de sources tierces n’est pas autorisée.
La majorité des cas connus ont eu lieu en Tchéquie, avec seulement deux applis de phishing apparues en dehors du pays (plus précisément en Hongrie et en Géorgie). À ce stade, en tout cas…
