Сегодня 24 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Мошенники научились обходить защиту Android и iOS при помощи веб-приложений

Создатели фишинговых мошеннических схем нашли способ обходить механизмы, направленные против приложений, которые предназначены для кражи личной информации. Эти меры не работают против прогрессивных веб-приложений (Progressive Web App — PWA), чьи привилегии ниже, и возможности — скромнее.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

На iOS разрешена установка приложений только из App Store, а на Android по умолчанию можно устанавливать приложения только из Google Play — при попытке использовать другой источник система выводит предупреждение. Обнаруженные за последние девять месяцев фишинговые кампании имеют своей целью обманом заставить жертву установить вредоносное приложение, которое маскируется под официальный банковский клиент. После установки оно крадёт данные учётной записи и в реальном времени отправляет их злоумышленнику через Telegram, предупреждают эксперты компании ESET.

При атаке на пользователей iOS используется традиционное PWA — разработанный злоумышленниками веб-сайт открывается не через браузер, а с имитацией полноценного приложения; пользователей Android в некоторых случаях обманом заставляют устанавливать его особый подвид — WebAPK. Атака начинается, когда потенциальная жертва получает текстовое сообщение, звонок робота или переходит по ссылке вредоносной рекламы на Facebook или Instagram. Открыв ссылку, они попадают на страницу, имитирующую магазин приложений App Store или Google Play.

В случае с iOS установка PWA немного отличается от процедуры установки стандартного приложения — пользователю показывается всплывающее окно с инструкциями по установке, имитирующее системное сообщение платформы. Если же пользователь Android установил WebAPK через Google Play, то его бдительность усыпляется тем, что в описании говорится об отсутствии у приложения системных привилегий. В любом случае после установки пользователю предлагается ввести свои учётные данные для доступа к онлайн-банку, и вся введённая информация отправляется на подконтрольный мошенникам сервер.

Новая схема пока применяется преимущественно в Чехии, но уже отмечены инциденты в Венгрии и Грузии. Эксперты по кибербезопасности предполагают, что число подобных инцидентов будет расти, а их география — расширяться.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Apple выиграла суд у клиентки, которой «недоложили» места в iCloud 19 мин.
Сэм Альтман признался, что не готов доверить здоровье искусственному интеллекту 21 мин.
Proton представил конфиденциальный чат-бот Lumo с ИИ и шифрованием 28 мин.
AWS закрыла ИИ-лабораторию в Шанхае 2 ч.
Китайский боевик Wuchang: Fallen Feathers стартовал в Steam c «крайне отрицательными» обзорами — больше других недовольны китайцы 3 ч.
От атак на Microsoft SharePoint уже пострадали более 400 организаций, включая атомщиков США 3 ч.
Elden Ring Nightreign стала самой продаваемой игрой июня в США, опередив Death Stranding 2: On the Beach и Mario Kart World 4 ч.
Банковский троян Coyote обновился и стал опаснее — но пока в основном для бразильцев 5 ч.
Глава Google заявил, что он в восторге от партнёрства с OpenAI, но верится в это с трудом 5 ч.
ИИ будет рассматривать обращения россиян в госорганы — Минцифры проведёт эксперимент по внедрению ИИ в госуправление 5 ч.
Amazon выпустила более доступный ридер Kindle Colorsoft с цветным экраном, а также версию для детей 7 мин.
Судоходная компания впервые заказала танкеры с парусами-крыльями — каждый сэкономит по 3 тонны топлива в сутки 12 мин.
Китайский чёрный рынок наводнили чипы Nvidia B200 на $1 млрд вопреки санкциям Трампа 22 мин.
Выручка Google Cloud выросла на треть — Alphabet увеличит капзатраты до $85 млрд на фоне высокого спроса на ИИ 47 мин.
Kia представила модульные электромобили PV5 для перевозки грузов и пассажиров 2 ч.
Мы и они: Белый дом представил агрессивный план развития ИИ в США для сохранения мирового лидерства 2 ч.
Keychron выпустила беспроводную механическую клавиатуру по мотивам игры Black Myth: Wukong 3 ч.
Из Ryzen Threadripper Pro 9995WX выжали всё под жидким азотом: 227 000 баллов в Cinebench R23 и ещё семь мировых рекордов 3 ч.
Китайские автопроизводители удвоили долю на европейском рынке, несмотря на высокие пошлины 3 ч.
В Германии заинтересовались тараканами-киборгами и роботами с ИИ — денег на разработки не жалеют 3 ч.