ESET（反恶意软件供应商）发出警告，一种针对iOS和Android用户的新型钓鱼攻击正在利用进阶网络应用（PWA）和WebAPKs，模拟合法银行软件以绕过安全保护，窃取登录凭证。

在iOS和Android平台上，网络犯罪分子利用PWA，这些是伪装成独立应用程序的网站，而在Android平台上，他们还使用了WebAPKs，这些WebAPKs看起来像是从Google Play安装的本地应用程序。

PWA是使用网络应用技术构建的，能够在各种平台和设备上运行，不需要用户允许第三方应用安装。观察到的攻击中，iOS用户被指示将PWA添加到主屏幕，而Android用户则必须在浏览器中确认某些自定义弹窗后，才会安装该应用。

WebAPKs可以被视为升级版的PWA，它们看起来像普通的本地应用程序，即使用户没有允许从第三方来源安装应用，Android设备也不会触发任何警告。此外，这些应用程序的信息标签还会声称它们是从Google Play下载的。

这次钓鱼活动的幕后黑手结合了自动语音电话、社交媒体恶意广告和短信消息，分发了指向托管这些欺诈应用程序的第三方网站的链接。打开钓鱼链接后，会出现一个模仿Google Play/Apple Store页面或目标银行应用程序官方网站的页面。

用户随后会被提示安装新版银行应用程序，实际上却安装了恶意程序，而设备上不会显示任何安全警告。一旦钓鱼PWA或WebAPK安装完成，其图标会被添加到用户的主屏幕上，点击打开后直接进入钓鱼登录页面。

“安装后，受害者会被提示提交其网络银行凭证，以通过新的移动银行应用程序访问账户。所有提交的信息都会被发送到攻击者的C&C服务器上，”ESET在一份记录发现的报告中表示。

据ESET称，这些钓鱼攻击可能始于2023年11月，而指挥与控制（C&C）服务器在2024年3月开始收集信息。在某些情况下，攻击者还使用了Telegram机器人收集用户信息。

攻击主要针对捷克共和国的移动银行用户，但也观察到针对匈牙利和格鲁吉亚用户的攻击。

根据发现的C&C基础设施，ESET认为至少有两个不同的威胁行为者在使用这一新策略进行钓鱼攻击。此外，ESET警告说，攻击者可能会扩展其武器库，增加更多仿冒应用程序，因为这些应用程序很难与合法应用程序区分开来。