Специалисты компании c/side выявилиновую вредоносную кампанию, которая использует JavaScript-инъекции для скрытого перенаправления мобильных пользователей на поддельные сайты с порнографическим контентом, оформленные как прогрессивные веб-приложения (Progressive Web App, PWA). Эти ресурсы имитируют работу нативных мобильных приложений и служат наживкой для распространения мошеннического контента.
Атака нацелена исключительно на мобильные устройства, такие как смартфоны и планшеты под управлением Android, iOS и iPadOS. В случае захода с десктопа вредоносная активность не проявляется. Такой подход помогает злоумышленникам обойти системы анализа трафика и фильтрации, которые чаще ориентированы на настольные браузеры.
Суть атаки заключается в том, что в сторонние скрипты на легитимных сайтах внедряется вредоносный JavaScript-код. При посещении заражённого сайта с мобильного устройства он инициирует редирект пользователя на промежуточную страницу, стилизованную под установку мобильного приложения для просмотра “взрослого контента”. Далее жертва попадает на поддельный магазин приложений, где предлагается загрузка фиктивного Android- или iOS-приложения. На деле же это вредоносный PWA-сервис.
Использование формата прогрессивных веб-приложений позволяет киберпреступникам достичь нескольких целей: повысить правдоподобие интерфейса, сделать пребывание пользователя на фишинговом ресурсе более продолжительным и обойти встроенные в браузеры ограничения и предупреждения. Также данный тип приложений может сохраняться в кэше и закрепляться как “установленное” приложение, усиливая эффект маскировки.
По словам аналитиков c/side, применение PWA в таких атаках свидетельствует о том, что злоумышленники ищут более устойчивые и обходные методы фишинга. Основной задачей подобных кампаний остаётся сбор персональных данных и склонение пользователей к установке вредоносного ПО, при этом методы становятся всё изощрённее.
Особенность кампании – акцент именно на мобильную аудиторию. Это позволяет атакующим обходить механизмы, заточенные на анализ десктопного поведения, и снижать риск обнаружения при автоматизированной проверке сайтов. В результате владельцы сайтов даже не подозревают, что их ресурсы стали платформой для атаки, так как редиректы не срабатывают на компьютерах.
Технические детали говорят о целенаправленности и подготовке: вредоносный код внедряется в сторонние скрипты, что делает обнаружение особенно затруднительным. Такой подход особенно опасен в случае, если заражённый скрипт используется на популярных сайтах с большим мобильным трафиком.
Пока основная цель атак – продвижение фальшивых приложений для взрослых и увеличение конверсии в установку вредоносного ПО. Однако сам вектор указывает на потенциал более масштабного использования – от шпионских программ до банковского фишинга.