Зловмисники використовують технологію прогресивних веб-додатків (PWA) для створення фішингових банківських застосунків, які обходять захист офіційних магазинів і встановлюються безпосередньо з браузера на пристроях Android та iOS. Ця техніка активно застосовується в кампаніях проти клієнтів банків у Центральній та Східній Європі, зокрема в Чехії та Угорщині, де дослідники ESET зафіксували перші масові хвилі атак.
Що таке PWA і чому ця технологія придатна для фішингу
Прогресивні веб-додатки — це кросплатформні застосунки, що встановлюються з браузера без проходження перевірки в Google Play або App Store. Вони підтримують push-сповіщення, доступ до апаратних функцій пристрою та фонову синхронізацію даних. Саме відсутність обов’язкової перевірки в магазині робить PWA зручним вектором: зловмисник розгортає фішинговий застосунок на власному сервері та поширює його через посилання, а не через офіційний канал дистрибуції.
Три методи поширення шкідливих PWA
Автоматичні дзвінки та SMS: жертва отримує повідомлення від «служби безпеки банку» з вимогою терміново оновити застосунок через надане посилання. Аудіоповідомлення з роботизованим голосом імітує офіційний IVR банку.
Шкідлива реклама в соціальних мережах: рекламні оголошення імітують повідомлення від банку про обмежену акцію або бонуси. При натисканні відкривається підроблена сторінка встановлення PWA.
Фальшиві сторінки магазинів: користувач потрапляє на сторінку, що візуально копіює інтерфейс Google Play або App Store з правильним іконом та описом банківського застосунку. Натискання «Встановити» ініціює інсталяцію фішингового PWA.
Чому PWA-фішинг ефективніший за традиційні методи
- Обхід перевірок магазинів: PWA не проходить модерацію Google Play або App Store, тому шкідливий код не виявляється на етапі публікації
- Кросплатформність: одна кампанія одночасно охоплює Android та iOS без модифікацій
- Візуальна ідентичність: PWA відтворює інтерфейс справжнього банківського застосунку до деталей, включаючи іконки та назву в браузері
- Непомітне оновлення: зловмисники оновлюють PWA на сервері без будь-яких сповіщень користувачу
- Обхід виявлення: багато антивірусних рішень не перевіряють встановлення застосунків через браузер
Клієнти банків, які отримують несподівані повідомлення про оновлення
Головна цільова аудиторія — клієнти роздрібних банків, які отримали SMS, дзвінок або рекламне оголошення із закликом оновити мобільний банківський застосунок. Особливо вразливі користувачі, які вже мають справжній банківський застосунок на пристрої — фішинговий PWA імітує саме його, підвищуючи ймовірність введення облікових даних.
Як перевірити пристрій і не стати жертвою PWA-фішингу
- Встановлюйте банківські застосунки виключно через офіційний Google Play або App Store — перевіряйте назву розробника і кількість відгуків.
- Будь-яке посилання на «оновлення застосунку» в SMS, дзвінку або рекламі — ознака фішингу. Відкрийте магазин вручну і знайдіть застосунок за назвою банку.
- Перевірте список встановлених PWA: в Android — через Налаштування → Застосунки, в iOS — через Налаштування → Safari → Дозволи сайтів. Видаліть незнайомі записи.
- Увімкніть двофакторну автентифікацію в банківському застосунку — це обмежить наслідки крадіжки облікових даних.
- Якщо ви встановили застосунок за підозрілим посиланням — негайно зв’яжіться з банком і заблокуйте доступ до рахунку.
Атаки через PWA демонструють, що захист платформ через модерацію магазинів не є повним бар’єром — зловмисники обходять його, розповсюджуючи застосунки за межами офіційних каналів. Банкам рекомендується впроваджувати прив’язку мобільного застосунку до конкретного пристрою (device binding) для виявлення входів з нових пристроїв навіть при правильних облікових даних.
