Atores de ameaças estão aproveitando a tecnologia WebAPK do Android para induzir usuários a instalar aplicativos maliciosos em smartphones Android projetados para capturar informações pessoais confidenciais.

O ataque começou com as vítimas recebendo mensagens SMS sugerindo a necessidade de atualizar um aplicativo bancário móvel. O WebAPK permite que os usuários instalem aplicativos Web progressivos (PWAs) em sua tela inicial em dispositivos Android sem precisar usar a Google Play Store.

“Quando um usuário instala um PWA do Google Chrome e um WebAPK é usado, o servidor de criação “cria” (pacotes) e assina um APK para o PWA”, explica o Google em sua documentação.

Uma vez instalado, o aplicativo bancário falso solicita que os usuários insiram suas credenciais e tokens de autenticação de dois fatores (2FA), resultando efetivamente em seu roubo. Um dos desafios na luta contra tais ataques é o fato de que os aplicativos WebAPK geram diferentes nomes de pacotes e checksums em cada dispositivo.