威胁行为者正利用Android的WebAPK技术，诱使毫无戒心的用户在Android手机上安装恶意网络应用程序，这些软件旨在捕捉敏感的个人信息。

CSIRT KNF的研究人员在上周发布的一份分析报告中说：“袭击开始于受害者收到短信，暗示需要更新移动银行应用程序。”“消息中包含的链接导致了一个使用WebAPK技术在受害者设备上安装恶意应用程序的网站。”

该应用程序模拟了总部设在华沙的跨国银行银行Polski银行。这场运动的细节首先被波兰网络安全公司RIFFSEC分享。

WebAPK允许用户在Android设备上的主屏幕上安装渐进式Web应用程序(PWAS)，而不必使用GooglePlay Store。

Google在其文档中解释道：“当用户从Google Chrome安装PWA并使用WebAPK时，Mint服务器会为PWA‘生成’（包）并签署一个APK。”

“该过程需要时间，但当APK准备就绪时，浏览器会在用户设备上以静默方式安装该应用。因为受信任的提供商（Play Services或三星）签署了APK，所以手机在安装它时不会禁用安全性，就像任何来自商店的应用程序一样。不需要侧向加载页面。”

安装后，假冒的银行应用程序（“
org.chromium.webapk.a798467883c056fed_v2”）会敦促用户输入他们的凭证和双重认证（2FA）令牌，有效地导致他们的盗窃。

CSIRT KNF表示:”抵御此类攻击的挑战之一是，WebAPK应用程序在每个设备上生成不同的软件包名称和校验和。它们是由Chrome引擎动态构建的，因此很难将这些数据用作妥协指标（IoC）。”

为了应对此类威胁，建议阻止使用WebAPK机制进行网络钓鱼攻击的网站。

随着Resecurity的发展，网络犯罪分子越来越多地利用专门的设备欺骗工具，在暗网上销售的Android，以冒充妥协的帐户持有人和绕过反欺诈控制。

反检测工具，包括飞地服务和MacFly，能够欺骗移动设备的指纹和其他软件和网络参数，由反欺诈系统进行分析，威胁行为者还利用薄弱的欺诈控制，通过智能手机使用银行恶意软件，如TimpDoor和Clientor进行未经授权的交易。

网络安全公司表示：“网络犯罪分子使用这些工具来访问受损账户，并通过利用被盗的Cookie文件、模仿超粒度设备标识符和利用欺诈受害者的独特网络设置来冒充合法客户。”