Создатели фишинговых мошеннических схем нашли способ обходить механизмы, направленные против приложений, которые предназначены для кражи личной информации. Эти меры не работают против прогрессивных веб-приложений (Progressive Web App — PWA), чьи привилегии ниже, и возможности — скромнее.

Источник изображения: Gerd Altmann / pixabay.com

На iOS разрешена установка приложений только из App Store, а на Android по умолчанию можно устанавливать приложения только из Google Play — при попытке использовать другой источник система выводит предупреждение. Обнаруженные за последние девять месяцев фишинговые кампании имеют своей целью обманом заставить жертву установить вредоносное приложение, которое маскируется под официальный банковский клиент. После установки оно крадёт данные учётной записи и в реальном времени отправляет их злоумышленнику через Telegram, предупреждают эксперты компании ESET.

При атаке на пользователей iOS используется традиционное PWA — разработанный злоумышленниками веб-сайт открывается не через браузер, а с имитацией полноценного приложения; пользователей Android в некоторых случаях обманом заставляют устанавливать его особый подвид — WebAPK. Атака начинается, когда потенциальная жертва получает текстовое сообщение, звонок робота или переходит по ссылке вредоносной рекламы на Facebook✴ или Instagram✴. Открыв ссылку, они попадают на страницу, имитирующую магазин приложений App Store или Google Play.

В случае с iOS установка PWA немного отличается от процедуры установки стандартного приложения — пользователю показывается всплывающее окно с инструкциями по установке, имитирующее системное сообщение платформы. Если же пользователь Android установил WebAPK через Google Play, то его бдительность усыпляется тем, что в описании говорится об отсутствии у приложения системных привилегий. В любом случае после установки пользователю предлагается ввести свои учётные данные для доступа к онлайн-банку, и вся введённая информация отправляется на подконтрольный мошенникам сервер.

Новая схема пока применяется преимущественно в Чехии, но уже отмечены инциденты в Венгрии и Грузии. Эксперты по кибербезопасности предполагают, что число подобных инцидентов будет расти, а их география — расширяться.

Apple, которая ранее заявила, что с выходом iOS 17.4 на телефонах в ЕС прекратят поддерживаться прогрессивные веб-приложения (PWA) из-за требований «Закона о цифровых рынках» (DMA), отказалась от этой инициативы. Компания пообещала, что «продолжит предлагать существующие возможности веб-приложений для главного экрана в ЕС».

Решение Apple отключить работу PWA вызвало поток критики в адрес компании, а европейские чиновники сообщили о готовности провести проверку этого решения. Компания же пояснила, что для сохранения этой функции в новых условиях ей придётся создать «совершенно новую архитектуру интеграции, которая в настоящее время в iOS не существует», чтобы решить «сложные вопросы безопасности и конфиденциальности, связанные с веб-приложениями, использующими альтернативные браузерные движки». Apple считала, что проводить эту работу было бы «непрактично с учётом других требований DMA и низкой популярности веб-приложений на главном экране среди пользователей».

Теперь в компании сменили курс и заявили, что iOS 17.4 сохранит поддержку PWA на телефонах в ЕС. «Эта поддержка означает, что веб-приложения на главном экране по-прежнему будут создаваться непосредственно на WebKit и его архитектуре безопасности и соответствовать модели безопасности и конфиденциальности нативных приложений для iOS», — добавили в компании. Иными словами, вне зависимости от того, через какой браузер веб-приложение было добавлено на главный экран, запускаться оно будет только через WebKit.

Apple начала отключать поддержку прогрессивных веб-приложений (Progressive Web Apps — PWA) на iPhone, принадлежащих пользователям из Евросоюза. Такие приложения уже прекратили работать в регионе во всех бета-версиях iOS 17.4, и теперь Apple официально подтвердила, что это был намеренный шаг. С выходом стабильной версии iOS 17.4 поддержку приложений утратят все пользователи из ЕС.

В разделе для разработчиков на своём сайте Apple сообщила, что отключила пользователям из ЕС «приложения для домашнего экрана» (Home Screen web apps), поскольку приведение их в соответствие с «Законом о цифровых рынках» (DMA) потребовало бы «совершенно новой архитектуры интеграции», реализовывать которую при всех нововведениях в регионе было бы «непрактично». Одна из норм DMA требует Apple открыть платформу для браузеров на альтернативных движках.

PWA работают «непосредственно на WebKit» — собственном движке Safari, — что позволяет им «соответствовать модели безопасности и конфиденциальности нативных приложений для iOS». С обновлением до iOS 17.4 добавленные на главный экран сайты превращаются в ярлыки, открывающие новую вкладку в браузере, а не автономные службы с поддержкой push-уведомлений и отображением их наличия на иконках — эту функцию Apple добавила только в прошлом году.

Прогрессивные веб-приложения позволяют хранить данные отдельно от браузера, что удобно, если нужен быстрый доступ к какому-либо сайту, и не нужен постоянный вход в систему. Некоторые службы, например, Facebook✴ Gaming, пользуются форматом веб-приложений для обхода Apple App Store и его комиссий. С появлением в ЕС альтернативных браузерных движков на iOS этот формат, по версии Apple, начал создавать угрозу безопасности: «вредоносные веб-приложения могут считывать данные других веб-приложений, перехватывать их разрешения для получения доступа к камере, микрофону или местоположению пользователя без его согласия». Браузеры также могут устанавливать веб-приложения без ведома пользователя, добавила Apple, хотя на Android они работают уже много лет на всех браузерах.

«Ожидаем, что это изменение коснётся небольшого числа пользователей. Тем не менее, сожалеем о любом влиянии, которое это изменение, внесённое в рамках работы по обеспечению соответствия DMA, может оказать на разработчиков веб-приложений для главного экрана и наших пользователей», — заключила Apple. Ещё одной причиной отключения поддержки этой функции в компании назвали её «очень низкую популярность».