Androidの銀行アプリユーザーを狙うプログレッシブWebアプリに注意

画像提供：マイナビニュース

ESETは8月20日(現地時間)、「Be careful what you pwish for – Phishing in PWA applications」において、モバイルユーザーを標的とするフィッシングキャンペーンを発見したと報じた。このキャンペーンではプログレッシブWebアプリ(PWA: Progressive Web Apps)を使用することで悪意のあるアプリを隠蔽するとされる。

PWAとはHTML、CSS、JavaScriptといったWeb技術を使用して構築されているアプリケーションで、1つのコードベースからすべてのデバイスにインストールして実行できる。

○Androidユーザーを標的としたフィッシング

ESETにより発見された新たなフィッシングキャンペーンでは、初期アクセスに自動音声通話、ショートメッセージサービス(SMS: Short Message Service)、ソーシャルメディアのマルバタイジング(偽広告)などを悪用するという。音声通話では標的に古い銀行アプリのアップデートを促し、SMSではソーシャルエンジニアリングによるフィッシングサイトへの誘導が行われる。マルバタイジングではInstagramやFacebookの広告が悪用され、特定のターゲット層を銀行アプリに偽装したフィッシングサイトに誘導する。

いずれの場合も、銀行アプリのアップデートを求めることで悪意のあるアプリをインストールさせる。AndroidユーザーにはWebAPK形式(中身はPWA)のアプリを配信し、それ以外のユーザーにはPWA形式のアプリを配信する。

○プログレッシブWebアプリの使用目的

今回のキャンペーンにおいて、攻撃者がPWAを採用した理由の1つは警告の回避とされる。ESETによると、Chromeはデフォルト設定でWebAPK形式のアプリのインストールを警告せず、iOSの場合もインストール方法をポップアップ表示するだけで警告されないという。

他にも通常のモバイルアプリのように動作させることが可能な点も理由の1つとされる。また、Androidの場合はアプリアイコンからWebブラウザーロゴを消せるため、通常のアプリと区別がつかず、ユーザーは不正なアプリと認識することが難しいとされる。

○影響と対策

ESETの調査によると、本件キャンペーンの主な標的はチェコのモバイルユーザーとされる。攻撃者は2つの異なるコマンド＆コントロール(C2: Command and Control)サーバを使用しており、ESETは2つの脅威グループによる活動ではないかと推測している。

このキャンペーンでは初期アクセスに複数のフィッシング手法が用いられる。そのため、銀行アプリを使用するモバイルユーザーは、フィッシング対策のベストプラクティスを実践することが推奨されている。また、ESETは調査過程え判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
（後藤大地）