Android和iOS設備小心 新型釣魚攻擊來襲洪嘉宏 (2024-08-21 14:19:40)

近期，捷克、匈牙利和喬治亞發現一種複雜的行動釣魚技術，這種技術利用漸進式網頁應用程式（PWA），並在Android和iOS設備上逐漸擴散。

編譯／Cynthia

近期，捷克、匈牙利和喬治亞發現一種複雜的行動釣魚技術，這種技術利用漸進式網頁應用程式（PWA），並在Android和iOS設備上逐漸擴散。漸進式網頁應用程式，是一種可以提供類似原來應用程式體驗的網頁應用，攻擊者藉此繞過傳統應用程式安裝的限制，直接在受害者的設備上，安裝釣魚應用程式。這種手法提高釣魚攻擊的隱蔽性，也讓防範變得更加困難。

技術亮點

這種新釣魚手法亮點，是它不需要使用者允許第三方應用程式的安裝，能直接從第三方網站安裝釣魚應用程式。這突破傳統的應用安裝限制，使得釣魚攻擊更加隱蔽。根據ESET資安公司的報告，這些攻擊利用漸進式網頁應用程式技術，可以直接在目標設備上安裝不明應用程式，進一步提升攻擊的危害性。

更多新聞：注意！文件共享服務遭釣魚攻擊 暴增350%

iOS與Android的不同手法

在iOS平台上，攻擊者會利用釣魚網站，假冒知名應用程式的登入畫面，誘使受害者將漸進式網頁應用程式添加到主畫面。這些漸進式網頁應用程式看似獨立，實際上模擬原來行動應用的行為，使得受害者難以識別。

對於Android設備，攻擊者則通過瀏覽器彈出的自定義對話框來確認安裝，靜默地將漸進式網頁應用程式安裝為WebAPK。WebAPK是升級版的漸進式網頁應用程式，可以更好地模擬原來應用程式，並且由Chrome瀏覽器生成，增加攻擊的隱蔽性。

釣魚活動的攻擊範圍與手法

這些釣魚活動主要針對捷克、匈牙利和喬治亞的多家銀行，顯示出其目標範圍之廣。攻擊者採用三種主要的URL連結傳遞方式來散佈釣魚連結，首先是語音通話，透過自動化的電話警告用戶其銀行應用過時，並要求用戶在數字鍵盤上選擇選項，隨後發送釣魚連結。其次是簡訊，直接發送含有釣魚連結的簡訊給用戶電話號碼。最後是惡意廣告，通過Meta平台上的廣告誘惑用戶下載「更新」，進一步擴大攻擊範圍。

研究結果與未來展望

ESET於2023年11月首次發現這種新的釣魚手法，並在同年中旬注意到WebAPK的應用變化。研究人員推測，這些釣魚活動可能涉及兩個不同的威脅行為者，顯示出攻擊者之間可能存在合作或資訊共享。ESET已經通知受影響的銀行，並建議他們加強防範措施，以應對這項新興威脅。隨著漸進式網頁應用程式技術的普及，這類釣魚手法可能會變得更加普遍，因此資安防護需要持續更新，以應對未來的挑戰。

資料來源：Infosecurity Magazine

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

這篇文章 Android和iOS設備小心 新型釣魚攻擊來襲 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。