ESETは8月20日(現地時間)、「Be careful what you pwish for – Phishing in PWA applications」において、モバイルユーザーを標的とするフィッシングキャンペーンを発見したと報じた。このキャンペーンではプログレッシブWebアプリ(PWA: Progressive Web Apps)を使用することで悪意のあるアプリを隠蔽するとされる。

PWAとはHTML、CSS、JavaScriptといったWeb技術を使用して構築されているアプリケーションで、1つのコードベースからすべてのデバイスにインストールして実行できる。

  • Be careful what you pwish for – Phishing in PWA applications

    Be careful what you pwish for – Phishing in PWA applications

Androidユーザーを標的としたフィッシング

ESETにより発見された新たなフィッシングキャンペーンでは、初期アクセスに自動音声通話、ショートメッセージサービス(SMS: Short Message Service)、ソーシャルメディアのマルバタイジング(偽広告)などを悪用するという。音声通話では標的に古い銀行アプリのアップデートを促し、SMSではソーシャルエンジニアリングによるフィッシングサイトへの誘導が行われる。マルバタイジングではInstagramやFacebookの広告が悪用され、特定のターゲット層を銀行アプリに偽装したフィッシングサイトに誘導する。

いずれの場合も、銀行アプリのアップデートを求めることで悪意のあるアプリをインストールさせる。AndroidユーザーにはWebAPK形式(中身はPWA)のアプリを配信し、それ以外のユーザーにはPWA形式のアプリを配信する。

  • 悪意のあるアプリの配信経路 - 引用:ESET

    悪意のあるアプリの配信経路 引用:ESET

プログレッシブWebアプリの使用目的

今回のキャンペーンにおいて、攻撃者がPWAを採用した理由の1つは警告の回避とされる。ESETによると、Chromeはデフォルト設定でWebAPK形式のアプリのインストールを警告せず、iOSの場合もインストール方法をポップアップ表示するだけで警告されないという。

  • iOSのポップアップ表示 - 引用:ESET

    iOSのポップアップ表示 引用:ESET

他にも通常のモバイルアプリのように動作させることが可能な点も理由の1つとされる。また、Androidの場合はアプリアイコンからWebブラウザーロゴを消せるため、通常のアプリと区別がつかず、ユーザーは不正なアプリと認識することが難しいとされる。

  • 悪意のあるアプリ(左)と正規の銀行アプリ(右) - 引用:ESET

    悪意のあるアプリ(左)と正規の銀行アプリ(右) - 引用:ESET

影響と対策

ESETの調査によると、本件キャンペーンの主な標的はチェコのモバイルユーザーとされる。攻撃者は2つの異なるコマンド&コントロール(C2: Command and Control)サーバを使用しており、ESETは2つの脅威グループによる活動ではないかと推測している。

このキャンペーンでは初期アクセスに複数のフィッシング手法が用いられる。そのため、銀行アプリを使用するモバイルユーザーは、フィッシング対策のベストプラクティスを実践することが推奨されている。また、ESETは調査過程え判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。