IPhone- en Androidgebruikers zijn het doelwit van phishingaanvallen waarbij er gebruik werd gemaakt van malafide progressive web apps (PWA's). Via de malafide applicaties, die buiten de appstores worden aangeboden, proberen de aanvallers om inloggegevens voor mobiel bankieren te stelen. Een progressive web app is een type applicatie dat via het web wordt aangeboden en gebruikmaakt van bekende webtechnologieën zoals HTML, CSS, JavaScript en WebAssembly. Het werkt daarbij op de meeste browsers.

Via geautomatiseerde telefoongesprekken, sms-berichten en malafide advertenties die van banken lijken te zijn proberen de aanvallers hun slachtoffers naar een malafide website te lokken. Deze website toont een pop-up met het verzoek om de PWA op het startscherm te plaatsen. Zodra gebruikers de PWA-app starten vraagt die om inloggegevens voor online bankieren. Ingevulde gegevens worden dan naar de aanvallers gestuurd.

"Voor iOS-gebruikers kan een dergelijke actie alle 'walled garden'-aannames over beveiliging doorbreken. Op Android kan dit leiden tot de stille installatie van een speciaal soort APK", zegt Jakub Osmani, onderzoeker van antivirusbedrijf ESET. Hij doelt daarbij op WebAPK's. Een WebAPK is volgens de onderzoeker een geüpgraded versie van de progressive web app. Zowel bij het installeren van een PWA als WebAPK verschijnt er geen waarschuwing over het installeren van een third-party applicatie. Klanten van banken in Tsjechië, Hongarije en Georgië zijn doelwit van de aanvallen.