Seu app bancário é falso? Entenda como hackers estão roubando dados
Hackers estão utilizando PWAs para criar aplicativos falsos de bancos, que imitam com precisão os aplicativos legítimos.
Recentemente, a técnica de phishing, que já é uma ameaça bem conhecida no mundo da segurança cibernética, ganhou uma nova roupagem, direcionada especificamente a usuários de dispositivos móveis. Analistas da ESET, empresa de segurança digital, identificaram um aumento significativo no uso de aplicativos da web progressivos (PWAs) para executar ataques sofisticados de phishing. Esses ataques têm como alvo principal usuários de sistemas operacionais Android e iOS, explorando vulnerabilidades que muitos sequer imaginam que existam.
Para entender a gravidade da situação, é importante primeiro compreender o que são os PWAs. Aplicativos da web progressivos (Progressive Web Applications) são aplicações desenvolvidas com tecnologias web tradicionais, como HTML, CSS e JavaScript, mas que oferecem uma experiência muito próxima a de um aplicativo nativo. Esses aplicativos podem ser instalados diretamente do navegador, sem a necessidade de passar por lojas de aplicativos como a Google Play Store ou a Apple App Store.
Os PWAs são projetados para funcionar em diversas plataformas, oferecendo uma experiência unificada para usuários, independentemente do dispositivo ou sistema operacional que utilizam. Isso os torna extremamente atraentes para desenvolvedores legítimos e, infelizmente, também para criminosos cibernéticos.
A grande vantagem – e ao mesmo tempo a principal vulnerabilidade – dos PWAs é que, por serem instalados diretamente do navegador, eles conseguem contornar as restrições de instalação de aplicativos e os tradicionais avisos de “fonte desconhecida”, comuns quando se tenta instalar aplicativos fora das lojas oficiais. Além disso, PWAs têm acesso a uma ampla gama de funcionalidades do dispositivo, como geolocalização, câmera e microfone, através de APIs do navegador, sem a necessidade de solicitar permissões explícitas que poderiam levantar suspeitas.
A nova estratégia dos hackers
Os ataques identificados pelos analistas da ESET revelam uma tática inovadora e preocupante. Hackers estão utilizando PWAs para criar aplicativos falsos de bancos, que imitam com precisão os aplicativos legítimos. Essa técnica foi observada pela primeira vez em julho de 2023, na Polônia, e desde então tem se espalhado para outros países. Em novembro de 2023, uma nova campanha foi detectada na República Tcheca, onde clientes de grandes bancos foram os principais alvos.
A ESET também observou campanhas similares na Hungria e na Geórgia, onde os cibercriminosos têm como alvo os clientes do OTP Bank e do TBC Bank, respectivamente. Embora as campanhas compartilhem a mesma técnica, elas parecem ser operadas por grupos diferentes, cada um utilizando sua própria infraestrutura para capturar e gerenciar as credenciais roubadas.
Como funciona o ataque?
Os hackers utilizam uma combinação de técnicas tradicionais de phishing, como smishing (phishing por SMS), malvertising (publicidade maliciosa) e até mesmo robocalls (chamadas automatizadas), para enganar as vítimas e levá-las a instalar os aplicativos falsos.
- Smishing e Robocalls: O usuário recebe uma mensagem SMS ou uma chamada automatizada informando que seu aplicativo bancário está desatualizado e que é necessário instalar uma nova versão por motivos de segurança. A mensagem inclui um link que leva diretamente ao PWA de phishing.
- Malvertising: Nesse caso, os cibercriminosos criam anúncios falsos em redes sociais, como Facebook e Instagram, utilizando o logotipo e os mascotes oficiais dos bancos para adicionar uma camada de legitimidade. O anúncio pode prometer uma recompensa financeira ou alertar sobre uma atualização crítica, induzindo o usuário a clicar no link e instalar o aplicativo falso.
Uma vez que a vítima clica no link fornecido, ela é redirecionada para uma página que imita a Google Play Store ou a Apple App Store. Dependendo do dispositivo, o site oferece a instalação do aplicativo bancário falso, que, na verdade, é um PWA malicioso.
Por que é difícil identificar a fraude?
A sofisticação desses ataques reside na capacidade dos PWAs de se disfarçarem como aplicativos legítimos. No caso do Android, os PWAs podem ser instalados como WebAPKs, uma versão mais avançada dos PWAs, que se assemelham ainda mais a aplicativos nativos. Esses WebAPKs são criados pelo próprio navegador Chrome, o que elimina qualquer suspeita de instalação de fontes desconhecidas.
Esses aplicativos falsos não exibem o logotipo do navegador, uma característica que normalmente denuncia um PWA, e imitam com precisão a interface dos aplicativos bancários legítimos, incluindo telas de login e funcionalidades. A vítima, ao inserir suas credenciais, não desconfia que está, na verdade, enviando suas informações diretamente para os servidores controlados pelos hackers.
