Veszélyes kód a hétköznapi appokban
A legfrissebb kutatások szerint a csalók a legismertebb WordPress-témákban terjesztenek rosszindulatú kódot, amelyeket MI-elemzéssel és automata robotokkal vizsgáltak. Ezek a támadások tipikusan a service worker, illetve a progresszív webalkalmazás (PWA – Progressive Web App) logikájába injektált kódot használnak. Ha a mobilos felhasználó egy megfertőzött oldalra téved, a böngésző nézete átvált egy teljes képernyős iframe-re, amelyen keresztül rávehetik, hogy egy hamis PWA-t telepítsen. Ezeket rendszerint felnőtt tartalmat ígérő APK-ként vagy kriptós alkalmazásként rejtik el, és folyamatosan változó aldomainen kínálják.
Álcázás, adatlopás, az eszköz folyamatos fertőzése
Az ilyen alkalmazások célja, hogy a böngésző bezárása után is a készüléken maradjanak, folyamatosan adatokat gyűjtsenek, vagy akár belépési adatokat lopjanak, jogosultsági tokeneket szerezzenek – ez utóbbi lehetővé teszi a kriptotárcák feltörését is. A támadók különféle rejtőzködési taktikákat alkalmaznak: például úgynevezett ujjlenyomat-képzési (fingerprinting) és álca (cloaking) technikákat, amelyekkel kijátsszák a szűrőket, valamint megakadályozzák, hogy az automatikus ellenőrök felismerjék a rosszindulatú működést.
Így védekezz
A mobil böngészők sebezhetőségének egyik oka, hogy gyengébb a sandboxolás, ráadásul a felhasználók hajlamosabbak megbízni a teljes képernyős felugrókban és telepítési ajánlatokban. A fejlesztőknek ajánlott a harmadik féltől származó scriptek rendszeres ellenőrzése és valós idejű monitorozása, mert legtöbbször ezeken keresztül jutnak be a támadók. A felhasználóknak érdemes óvatosnak lenniük minden ismeretlen forrásból érkező telepítési javaslattal és gyanús bejelentkezési felugróval szemben, különösen, ha az látszólag a Google-től érkezik.
