Wat zijn WebView-mobiele apps en hoe werken ze?
WebView-apps zijn webapps die zich gedragen als mobiele apps, maar in werkelijkheid draaien in een browseromgeving die op het apparaat van de gebruiker is geïnstalleerd. Dit is een verborgen aanvalsvector, met name voor het stelen van inloggegevens binnen WebView-bankier-apps.
Een WebView-mobiele app wordt vaak verward met een Progressive Web Application (PWA), maar er zijn subtiele verschillen.
Beide worden voornamelijk gebruikt om cross-platformondersteuning te vereenvoudigen. In plaats van in wezen dezelfde functionaliteit op meerdere front-endinfrastructuren te ontwikkelen, kan dat nu op één platform. Ze zijn ook lichter om te draaien en bij te werken.
Waarom zijn bank-apps een belangrijk doelwit voor het stelen van inloggegevens?
Bank-apps gebouwd als WebViews zijn een gemakkelijk doelwit omdat ze directe toegang geven tot geld. Zodra de sessie is gekaapt (of de inloggegevens zijn gestolen), kunnen aanvallers snel handelen. De weg van de aanval naar de buit is veel korter dan bij andere typen aanvallen.
Wat zijn de 2 manieren waarop inloggegevens worden gestolen bij bank-PWA's?
Er zijn 2 manieren waarop het stelen van bankinloggegevens via WebView-apps plaatsvindt. In beide gevallen maken aanvallers misbruik van de browsergebaseerde infrastructuur waarop WebViews zijn gebouwd. Ofwel door echte PWA-bankier-apps aan te vallen met kwaadaardige scripts (= client-side aanvallen), ofwel door nep-bankier-apps te maken (= phishing).
Client-side aanvallen op echte WebViews
Omdat WebView draait in een browseromgeving op de telefoon, zijn ze onderhevig aan zowel de voordelen als de nadelen van browseraanvallen. Deze browseromgevingen worden ook wel de "client" van de gebruiker genoemd — vandaar de term client-side aanvallen.
Het meest voorkomende type client-side aanvallen zijn web supply chain-aanvallen. Hierbij worden tools van derden die in de browseromgeving draaien (denk aan marketingtools, trackingpixels, ..) gecompromitteerd. Vervolgens passen ze de scriptfunctionaliteit aan of breiden die uit om verkeer te onderscheppen, ingediende formuliervelden te kopiëren, en allerlei andere aanvallen uit te voeren.
Al deze client-side aanvallen zijn mogelijk op WebViews.
Nep-WebViews gebruikt bij phishingaanvallen
Wat is beter dan proberen een echte bank-app te compromitteren? Een neppe bouwen. Hierbij maken aanvallers kopieën van bank-WebViews met minimale functionaliteit. Vervolgens manipuleren ze gebruikers via phishingaanvallen om die kwaadaardige apps te downloaden. Zodra gebruikers inloggen, hebben aanvallers de inloggegevens buitgemaakt — en vaak ook de 2FA.
Voorbeelden van het stelen van inloggegevens bij bank-WebViews
OTP Bank (2023)
Eind 2023 trof een phishingaanval OTP Bank (Hongarije) met succes. De slachtoffers ontvingen een sms met een link naar een nepwebsite die OTP Bank nabootste. De pagina drong er bij gebruikers op aan een app te installeren — in dit geval een WebView.
Zodra gebruikers probeerden in te loggen, hadden aanvallers hun inloggegevens en 2FA-codes succesvol gestolen.
TBC Bank (2023-2024)
TBC Bank in Georgië werd getroffen door een aanval die liep van eind 2023 tot in 2024. Bij deze aanval werden gebruikers benaderd via telefoongesprekken en advertenties op sociale media. Ook hier zorgde een landingspagina met een nep-PWA-installatieprompt ervoor dat gebruikers de kwaadaardige app downloadden. Alle inloggegevens werden onderschept en door de aanvallers gebruikt.
Lees meer over zowel de OTP- als de TBC Bank-aanval hier.
British Airways (2018)
Bij de meest beruchte client-side aanval tot nu toe was ook hun mobiele app betrokken. 429.612 klanttransacties werden onderschept, waarbij bij de meeste bankinloggegevens werden gestolen. De BA-app was ook een WebView, op een service worker (en installeerbaar manifest) na, wat betekende dat die technisch gezien niet installeerbaar of offline-geschikt was zoals een volledige WebView. Maar voor alle praktische doeleinden was het een WebView.
We schreven het volledige verhaal op de baways-microsite.
