ESETは2024年下半期の脅威レポートを公開し、モバイルバンキングユーザーを標的とした新たなソーシャルエンジニアリング手法を明らかにしました。サイバー攻撃者は、モバイルセキュリティ対策を回避するため、不明なソースからアプリをインストールする時にユーザーの許可を必要としないプログレッシブWebアプリ(PWA)やWebAPKを悪用しています。
「最初のフィッシングメッセージは、SMS、自動音声通話、ソーシャルメディアでの悪意のある広告など、さまざまな方法で配信されました。被害者には、”モバイルバンキングアプリの更新が必要”、または”税金の還付がある”と通知するメッセージや自動音声通話が送信されています。これらのメッセージは、ランダムな番号に送信された可能性が高く、銀行の公式サイトを模倣したフィッシングサイトに被害者を誘導するリンクが含まれていました。FacebookやInstagramの悪意のある広告では、公式アプリが廃止されると偽り、偽のバンキングアプリを宣伝していました。」
これらのアプリは、標的となる被害者に銀行の認証情報を入力させるように設計されており、多要素認証コードを傍受することもできます。
ESETのリサーチャーは次のように説明しています。
「分析対象となった悪質なアプリは、インストール後、通常のモバイルバンキングマルウェアのように振る舞い、偽のログイン画面を表示して被害者に認証情報を入力するように促します。ログイン情報やパスワード、二要素認証コードなどの詐取された認証情報は、攻撃者のコマンドアンドコントロールサーバーに送信され、攻撃者は被害者のアカウントに不正にアクセスできるようになります。」
ESETのリサーチャーは、今後1年でこのフィッシング手法が増加すると予想しており、予期しないメールにリンクされているアプリのインストールに注意するよう警告しています。
ESETは次のようにこの脅威を指摘しています。
「従来のアプリとは異なり、これらの悪質なPWAとWebAPKは、正規のアプリケーションに見せかけるパッケージ化されたフィッシングWebサイトです。これらのアプリはマルウェアで見られる典型的な動作や特徴がないため、モバイルオペレーティングシステムの従来のセキュリティ警告を回避し、さらにアプリストアの審査プロセスを完全にすり抜けることが特に懸念されています。このような状況では、モバイルプラットフォームがPWAやWebAPKに対するアプローチを見直さない限り、これらを悪用したより高度で多様なフィッシングキャンペーンが今後さらに増加することが予想されます。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、ESETの記事を参照してください。
原典:Stu Sjouwerman著 2024年12月20日発信 https://blog.knowbe4.com/mobile-phishing-attacks-use-new-tactic-to-bypass-security-measures