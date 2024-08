Ci sono parecchie tipologie di minacce nel settore informatico e tecnologico in generale, in grado di creare diversi problemi agli utenti: tentativi di phishing, malware e virus, trojan, ce n’è per tutti i gusti. Sulle nostre pagine avete potuto leggere in varie occasioni notizie al riguardo, con le quali cerchiamo di mettervi in guardia e aumentare la consapevolezza dell’utente comune riguardo ai possibili problemi che queste minacce possono creare.

Nel corso degli ultimi mesi, tanto per fare qualche esempio, abbiamo visto il nuovo malware Brokewell, il malware SoumniBot che sfrutta una falla di Android per non essere rilevato, tre applicazioni contenenti il malware XploitSPY, 28 app VPN gratuite infette sul Google Play Store, diversi altri software reperibili dallo store di Google che contenevano il trojan bancario Anatsa, ben 90 applicazioni infette individuate sullo store di Google, il nuovo tipo di attacco Dirty Stream, o ancora oltre 120 campagne di hacking condotte con il malware “Rafel RAT”.

Oggi, grazie ad uno studio effettuato dagli analisti di ESET, scopriamo insieme un nuovo metodo di phishing che colpisce sia gli utenti Android che quelli iOS.

Un nuovo metodo di phishing sfrutta la minor sicurezza delle PWA

I ricercatori della società di sicurezza menzionata in apertura sono riusciti ad individuare un nuovo tipo di campagna di phishing che ha preso di mira gli utenti di dispositivi mobili e in particolare i clienti di un istituto bancario ceco.

Anche il phishing si deve adeguare ai tempi che cambiano, trattandosi di una tipologia di attacco informatico che punta fondamentalmente a imbrogliare l’utente, convincendolo a scaricare applicazioni infette, deve fare i conti con le sempre maggiori misure di sicurezza messe in atto dagli store di applicazioni e da coloro che sviluppano i sistemi operativi mobili.

Per questo motivo, qualcuno ha avuto l’idea di sfruttare un nuovo approccio in grado di aggirare le diverse misure di sicurezza affrontate finora, sfruttando le Progressive Web App (PWA), la cui installazione rispetto alle applicazioni tradizionali è soggetta ad un numero estremamente minore di controlli di sicurezza. Su Android per esempio l’installazione di una PWA non richiede nemmeno di abilitare l’autorizzazione per consentire l’installazione di app dal browser.

Secondo quanto individuato quindi, una nuova tipologia di attacco tramite phishing ha sfruttato le PWA per rubare le credenziali di accesso ad alcuni istituti bancari di utenti in Repubblica Ceca, Ungheria e Georgia; gli hacker hanno cercato di convincere gli utenti a installare una PWA che simulava l’app della loro banca, spingendoli di conseguenza ad inserire le proprie credenziali e ottenendo così l’accesso ai loro conti.

Dalla ricerca effettuata è emerso come la campagna di phishing utilizzasse tre meccanismi principali, chiamate vocali automatizzate, messaggi SMS e malvertising sui social media: gli utenti ricevevano una chiamata vocale in cui venivano avvisati che l’app della loro banca era obsoleta e avevano dunque necessità di aggiornarla, dopo aver acconsentito cliccando un pulsante del dialer telefonico ricevevano un link tramite SMS per procedere con il download; ovviamente il link portava ad un sito web creato ad hoc per convincere gli utenti a scaricare la PWA sulla schermata iniziale del proprio dispositivo, sito che spesso imitava in tutto e per tutto il Google Play Store.

Anche i principali social media sono stati coinvolti dalla nuova tipologia di attacco, la campagna di phishing in questione ha infatti sfruttato piattaforme come Facebook e Instagram per proporre annunci fraudolenti che contenevano link diretti a siti dannosi.

Appare dunque evidente come sia buona norma diffidare sempre, utilizzate esclusivamente le applicazioni ufficiali del vostro istituto bancario che, mai e poi mai, vi contatterà telefonicamente, via SMS o email per avvisarvi della necessita di aggiornare le proprie applicazioni; come sempre un minimo di malizia e precauzione da parte dell’utente sono indispensabili per tutelarsi.