Um pesquisador de segurança descobriu um ataque de phishing com a intenção de enganar usuários do iPhone e fazê-los instalar o que supostamente é uma atualização do aplicativo bancário.
O ataque funciona apesar das proteções do iOS porque o que está realmente sendo “instalado” é um aplicativo da web progressivo, que não envolve nenhuma verificação ou avisos da App Store…
Aplicativos Web Progressivos (PWAs)
Os aplicativos da web progressivos são essencialmente sites que parecem e agem como aplicativos. Na verdade, quando o iPhone foi lançado pela primeira vez em 2007, os PWAs eram os apenas maneira de um desenvolvedor terceirizado lançar um aplicativo.
O cofundador da Apple, Steve Jobs, disse o seguinte sobre eles na época:
O mecanismo Safari completo está dentro do iPhone. E assim, você pode escrever aplicativos Web 2.0 e Ajax incríveis que parecem e se comportam exatamente como aplicativos no iPhone. E esses aplicativos podem se integrar perfeitamente com os serviços do iPhone. Eles podem fazer uma chamada, podem enviar um e-mail, podem procurar um local no Google Maps.
E adivinha? Não há SDK que você precise! Você tem tudo o que precisa se souber como escrever aplicativos usando os padrões da web mais modernos para escrever aplicativos incríveis para o iPhone hoje. Então, desenvolvedores, achamos que temos uma história muito legal para vocês. Vocês podem começar a construir seus aplicativos para iPhone hoje.
A Apple logo percebeu que os aplicativos nativos do iPhone proporcionariam uma experiência melhor, e a App Store nasceu um ano depois, mas você ainda pode usar PWAs hoje em dia.
Ataques de phishing com atualizações falsas de aplicativos bancários
Empresa de segurança cibernética ESET descoberto PWAs sendo usados para atingir usuários de Android e iPhone. Os ataques estão sendo feitos por uma variedade de métodos, incluindo textos, anúncios em mídias sociais e chamadas de voz.
A entrega da chamada de voz é feita por meio de uma chamada automatizada que avisa o usuário sobre um aplicativo bancário desatualizado e pede que ele selecione uma opção no teclado numérico. Após pressionar o botão correto, uma URL de phishing é enviada por SMS (…)
Os sites de phishing direcionados ao iOS instruem as vítimas a adicionar um Progressive Web Application (PWA) às suas telas iniciais, enquanto no Android o PWA é instalado após a confirmação de pop-ups personalizados no navegador. Neste ponto, em ambos os sistemas operacionais, esses aplicativos de phishing são amplamente indistinguíveis dos aplicativos bancários reais que eles imitam.
Depois que o usuário faz login no aplicativo falso, ele captura seus detalhes de login e os envia ao invasor.
Proprietários de iPhone podem correr um risco particular, pois muitos presumem que seus dispositivos estão protegidos contra malware.
Para usuários do iOS, um pop-up animado instrui as vítimas sobre como adicionar o PWA de phishing à tela inicial. O pop-up copia a aparência dos prompts nativos do iOS. No final, nem mesmo os usuários do iOS são avisados sobre adicionar um aplicativo potencialmente prejudicial ao telefone.
Os exemplos vivos vistos na natureza até agora têm como alvo usuários tchecos e húngaros, mas as mesmas técnicas podem ser facilmente usadas globalmente.
Como se proteger
Sempre trate qualquer comunicação reivindicada do seu banco com suspeita, seja uma mensagem de texto, e-mail ou chamada de voz. A abordagem mais segura é sempre desligar e ligar para o seu banco em um número genuíno conhecido (como o impresso no seu extrato bancário ou cartão de pagamento) para verificar qualquer informação que você tenha recebido antes de agir com base nela.
Qualquer atualização genuína de um aplicativo bancário estará disponível na App Store.
Através de Macworld. Imagem: composição 9to5Mac usando foto de Antônio sobre Desaparecer.
FTC: Usamos links de afiliados automáticos para geração de renda. Mais.