Özetle:Kötü niyetli kişiler çevrimiçi ortamda güvende kalmayı daha zorlu hale getirmek için yeni yollar bulmaya devam ediyor. Son yöntem özellikle yenilikçi, çünkü Progressive Web Uygulamalarını kullanarak iOS ve Android’in yerleşik güvenlik korumalarını atlatıyor. Bu PWA’lar telefonunuzdaki meşru uygulamaları taklit ederek kullanıcıları banka kimlik bilgilerini ve diğer hassas verileri vermeleri için kandırıyor.
Hem iOS hem de Android’de resmi olmayan kanallardan uygulama yüklemek artık her zamankinden daha zor. iOS bunu tamamen yasaklarken, Android daha hoşgörülüdür ve isterseniz diğer kaynaklardan uygulamaları “yan yüklemenize” izin verir. Ancak, süreç basit değildir – sizi riskler konusunda uyaran istemlerde birkaç kutuyu işaretlemeniz gerekir.
Yetkisiz uygulama yüklemeleri de bilgisayar korsanları için kolay bir iş değildir. Bu nedenle, akıllı dolandırıcılar sinsi bir geçici çözüm bulmuşlardır. Güvenlik firması ESET, kötü niyetli kişilerin güvenlik önlemlerini atlatmak için Progressive Web App adı verilen özel bir uygulama türünü nasıl kullandıklarını vurguladı. PWA’lar, yerel kod gerektirmeden web standartlarını kullanarak tamamen tarayıcınızda çalışır. Bir web sitesi veya tarayıcı sizden bir siteyi uygulama olarak yüklemenizi istediğinde bunlarla karşılaşmış olabilirsiniz.
Saldırı şu şekilde gerçekleşir: belirsiz bir metin alırsınız veya Facebook veya Instagram’da bir bağlantı içeren bir isim görürsünüz. Buna veya herhangi bir ekli bağlantıya tıklarsanız, platformunuz için meşru uygulama mağazasını taklit eden bir sayfa başlatır. Ardından, bankanızın mobil uygulaması için bir “güncelleme” yüklemenizi ister.
Android kullanıcıları için, kurulum düğmesine tıklamak bir WebAPK kurulumunu tetikler – dolandırıcıların istismar ettiği bazı Chrome işlevleri nedeniyle bilinmeyen uygulamalarla ilgili tüm uyarıları atlar. iOS’ta, Apple’ın sistem istemleri gibi tasarlanmış animasyonlu bir açılır pencere alırsınız ve PWA’yı ana ekranınıza nasıl ekleyeceğinizi size bildirir.
Kimlik avı PWA’sı kurulup ana ekranınıza eklendiğinde, tamamen meşru görünüyor ve bu yeni “mobil bankacılık uygulaması” aracılığıyla hesabınıza erişmek için çevrimiçi bankacılık bilgilerinizi girmenizi istiyor. Gerçekte ise, bu hassas bilgileri doğrudan dolandırıcıların sunucularına iletiyor.
Bilgili bir kullanıcı, bir PWA’yı normal bir uygulamadan ayırt edebilir ve uygulamaların doğrudan bir web tarayıcısından yüklenemeyeceğini anlayabilir. Ancak ortalama bir kişi için bu aldatmacaya düşmek kolaydır.
ESET araştırmacıları bu taktiğin öncelikle Çekya’daki banka müşterilerini hedef almak için kullanıldığını, Macaristan ve Gürcistan’daki bazı kurbanların da olduğunu gözlemledi. Şirket bu dolandırıcılığa karışan birden fazla kimlik avı alan adının kaldırılması için başarılı bir şekilde müzakere etmiş olsa da Apple ve Google’ın sorunu çözmek için hangi adımları atacağı belirsizliğini koruyor.