ご注意ください！高度なウェブアプリケーションを使ってモバイルバンキングのユーザーを狙う新たなフィッシング手法

新たな懸念すべきフィッシング手法が出現し、iOS と Android の両方のプラットフォームのモバイル バンキング ユーザーに深刻な脅威をもたらしています。マルウェア対策ベンダー ESET の最近の警告によると、サイバー犯罪者はプログレッシブ ウェブ アプリケーション (PWA) と WebAPK を利用してセキュリティ対策を回避し、機密性の高い銀行の認証情報を盗んでいます。

攻撃の仕組み

この新しいフィッシングキャンペーンは、ネイティブ アプリのように見え、機能するように設計された Web アプリケーションである PWA の柔軟性を悪用しています。PWA では、ユーザーがサードパーティ アプリのインストールを有効にする必要がないため、それほど疑わしく見えません。サイバー犯罪者は、iOS ユーザーにこれらの PWA をホーム画面に追加するように指示し、Android ユーザーにはブラウザーでカスタム ポップアップを確認するように求め、これらの偽のアプリケーションのインストールに誘導しています。

Android ユーザーにとって、WebAPK の使用により脅威は増大します。これらは基本的に、正規アプリの外観と動作を模倣したアップグレードされた PWA であり、多くの場合、ユーザーを騙して Google Play からダウンロードしたと信じ込ませます。ESET の調査では、これらの WebAPK は、ユーザーが不明なソースからのアプリのインストールを許可していなくても、通常のセキュリティ警告をトリガーしないことが強調されています。インストールされると、これらの悪意のあるアプリケーションはユーザーのデバイスにシームレスに溶け込み、公式の銀行アプリであることを示唆するアイコンと情報を表示します。

配布方法

これらのフィッシング アプリケーションの配布は、自動音声通話、ソーシャル メディアのマルバタイジング、SMS メッセージの組み合わせによって行われます。ユーザーは、公式アプリ ストアや標的の銀行の Web サイトに似た偽の Web サイトに誘導するリンクをクリックするように誘導されます。その後、モバイル バンキング アプリのアップデートと思われるものをインストールするように求められます。

これらのアプリはインストールされると、銀行口座にアクセスするふりをしてユーザーのログイン認証情報を要求します。ユーザーには知られずに、この機密情報は攻撃者のコマンド アンド コントロール (C&C) サーバーに即座に送信されます。

脅威の状況

ESET の調査によると、このフィッシング キャンペーンはおそらく 2023 年 11 月に開始され、C&C サーバーは 2024 年 3 月までにアクティブになったようです。主な標的はチェコ共和国のモバイル バンキング ユーザーですが、攻撃はハンガリーとジョージアの個人も標的にしています。ESET は、これらの攻撃の背後に 2 人の別々の脅威アクターを特定しました。どちらもユーザーを侵害するために同様の手法を使用しています。

さらに、こうした攻撃者が模倣アプリをさらに開発して、攻撃手段を拡大するのではないかという懸念が高まっています。こうした PWA や WebAPK は、正規の銀行アプリとほとんど区別がつかないほど巧妙に作られているため、特に危険です。

脅威から身を守る

このような高度なフィッシング手法の台頭により、ユーザーが警戒を怠らないことがこれまで以上に重要になっています。自分自身を守るために実行できる手順は次のとおりです。

1. アプリのインストールには注意してください: 公式アプリ ストアから直接入手したものではないアプリのインストールは避けてください。リンク経由でアプリまたはアップデートをインストールするように求められた場合は、まずその正当性を確認してください。
2. 異常なリクエストに注意してください: ログイン認証情報や銀行口座の詳細などの機密情報を要求するアプリには注意してください。特にアップデートを主張している場合は注意してください。
3. 最新情報を入手してください: 最新のセキュリティ ニュースを常に把握し、デバイスのセキュリティ ソフトウェアが更新され、こうした種類の脅威を検出してブロックできるようにします。

この新しいフィッシング手法は、サイバー犯罪者の戦術が進化していることと、ユーザーの意識を高める必要があることを強調しています。正当なアプリケーションと不正なアプリケーションの境界線があいまいになっているため、常に情報を入手し、注意を払うことが最善の防御策となります。