Мошенники научились маскировать фишинговые сообщения на Android-устройствах под уведомления легитимных приложений. Новая техника, которая уже применяется в кибератаках, работает с применением API Notifications и Push.

Об угрозе репортер Bleeping Computer узнал от представителя Lookout — компании, обнаружившей новый трюк фишеров.

Вредоносный код на подконтрольных злоумышленникам веб-страницах отправляет посетителям уведомления о якобы пропущенном звонке. При внимательном изучении жертва атаки может заметить во всплывающем баннере неуместное упоминание Google Chrome как приложения, от которого на самом деле поступило сообщение. Однако, как утверждают специалисты, пользователи могут легко поддаться на уловку и автоматически кликнуть по уведомлению.

В качестве приманки организаторы кампаний традиционно обещают пользователям бесплатные iPhone и денежные выплаты. Мошенники также могут подменить в баннере значок браузера, чтобы фишинговое сообщение было похоже на сообщение о пропущенном вызове. Стоит отметить, что техника работает, только если посетитель сайта согласился получать от него уведомления.

Android-fake-push-notifications

Примеры мошеннических уведомлений, замаскированных под сообщения из Slack

Обнаруженная вредоносная активность нацелена только на Android-устройства, однако это не единственная уязвимая к атаке платформа. Если на iOS push-уведомления работают несколько иначе и на них уловка не проходит, то пользователи ПК тоже могут стать жертвой: десктопные браузеры Safari и Chrome поддерживают веб-уведомления, и, как показала проверка, злоумышленник может этим воспользоваться. Как и на мобильных устройствах, в баннере остается фавикон браузера, однако эффект неожиданности может сыграть на руку преступникам.

desktop-fake-push-notification

Поддельное уведомление в настольной версии Chrome

Эксперты призывают пользователей внимательно проверять наименование приложения, от которого поступают уведомления, и URL назначения.

Ранее мошенники нашли вредоносное применение легитимной функции Facebook, которая позволила им размещать публикации от лица пользователей. Преступники встроили цепочку команд в iframe-тег, в результате чего пост автоматически появлялся в хронике жертвы после «подтверждения возраста» на странице злоумышленников.

Категории: Мошенничество