🕵️‍♂️ مهاجمان سایبری در ماه می ۲۰۲۵، از یک روش جدید و پنهان‌کارانه برای اجرای حملات فیشینگ روی موبایل رونمایی کردند. در این روش، از اپلیکیشن‌های وب پیش‌رونده (PWA) به‌عنوان ابزار حمله استفاده شده است.

این تهدید جدید می‌تواند کنترل امنیتی سازمان‌ها را دور بزند، داده‌های حساس کاربران را سرقت کند و در ظاهر یک اپ واقعی باقی بماند. اگر مسئول امنیت شبکه، مدیر SOC یا تحلیلگر تهدیدات هستید، حتماً ادامه این تحلیل را بخوانید.

تعریف و اهمیت PWA در بستر تهدیدات سایبری

PWA یا Progressive Web App نوعی اپلیکیشن مبتنی بر وب است که با استفاده از تکنولوژی‌هایی مانند Service Worker و Web Manifest، تجربه‌ای مشابه با اپلیکیشن‌های بومی (native) برای کاربران فراهم می‌کند. این اپلیکیشن‌ها می‌توانند بدون نیاز به نصب از فروشگاه‌های رسمی مانند Google Play، مستقیماً از مرورگر نصب شده و آیکون آن‌ها روی صفحه Home گوشی ظاهر شود. در دستگاه‌های اندرویدی، این فرایند از طریق WebAPK انجام می‌شود که باعث می‌شود اپلیکیشن از دید کاربر شبیه به یک اپلیکیشن واقعی رفتار کند.

🚨 این حمله دقیقاً چطور عمل می‌کند؟

مهاجمان با بهره‌گیری از جاوااسکریپت در وب‌سایت‌های آلوده، ابتدا تشخیص می‌دادند که آیا کاربر از موبایل وارد شده یا خیر. اگر بله، کاربر به یک صفحه جعلی هدایت می‌شد که ظاهراً مربوط به یک سرویس کاربردی (مثلاً پخش‌کننده ویدیو یا بازی رایگان) بود.

در این مرحله:

✔️ یک PWA جعلی به کاربر پیشنهاد می‌شد.

✔️ با تأیید کاربر، این اپلیکیشن به‌صورت WebAPK روی دستگاه اندرویدی نصب و آیکون آن در صفحه HOME ظاهر می‌شد.

✔️ پس از اجرا، صفحه‌ای طراحی‌شده ظاهر می‌شد تا کاربر اطلاعاتی مثل نام کاربری، رمز عبور یا اطلاعات کارت بانکی را وارد کند.

📌 چرا این حمله خطرناک است؟

🔐  PWA به‌ظاهر بی‌ضرر، در عمل یک فیشینگ حرفه‌ای است
PWA  در اصل یک تکنولوژی قانونی برای ساخت اپلیکیشن‌های سبک‌وزن و سریع است. اما وقتی همین فناوری در دست مهاجم باشد، بدون نیاز به امضای دیجیتال، بدون حضور در Google Play و بدون شناسایی توسط آنتی‌ویروس‌ها، مستقیماً در قلب گوشی کاربر قرار می‌گیرد.

🔍 تشخیص این حمله بسیار سخت است
چون این "اپلیکیشن جعلی" نه به‌صورت فایل APK نصب شده، نه دسترسی‌های خطرناک می‌گیرد و نه حتی توسط بسیاری از راهکارهای EDR موبایل قابل‌شناسایی است.

📱 نمونه اپلیکیشن‌های جعلی شناسایی‌شده در این حمله

طبق تحقیقات منتشرشده، مهاجمان در قالب حمله PWA، اپلیکیشن‌هایی طراحی کرده‌اند که از نظر نام، آیکون و تجربه کاربری، شباهت بسیار بالایی به اپ‌های محبوب دارند. این تشابه باعث می‌شود کاربران عادی و حتی کارکنان آموزش‌دیده به‌راحتی فریب بخورند.

نمونه‌هایی از نام و ظاهر اپلیکیشن‌های جعلی که در این حملات استفاده شده‌اند:

🎯 این حمله چه خطراتی برای سازمان شما دارد؟

✔️ عبور از سیستم‌های کنترل موبایل مانند MDM یا EMM

✔️ دور زدن فروشگاه رسمی گوگل و نصب مستقیم بدافزار

✔️ پنهان‌ماندن در لاگ‌های امنیتی سنتی

✔️ امکان فریب کاربران سازمانی به‌دلیل ظاهر بومی و آشنا

🛠️ چگونه PWA آلوده را شناسایی کنیم؟

تشخیص اپلیکیشن‌های PWA آلوده برخلاف بدافزارهای کلاسیک، نیاز به تحلیل رفتاری، بازرسی دقیق مرورگر و بررسی منبع اتصال دامنه دارد. چون این اپ‌ها نه از طریق Google Play نصب می‌شوند و نه الزامی به دریافت مجوزهای سیستمی دارند، اغلب در لایه‌های معمول امنیتی قابل شناسایی نیستند.

در ادامه، نکات تخصصی برای شناسایی و تشخیص PWAهای مشکوک یا آلوده را می‌خوانید:

🔍 بررسی در سطح کاربر و مرورگر

✅ آدرس دامنه اپلیکیشن را بررسی کنید
اگر کاربر با اپی مواجه شد که مستقیماً از مرورگر نصب شده و آدرس آن دامنه ناشناخته یا غیرمرتبط است (مثلاً yt-playvideos[.]site به جای youtube.com)، احتمال فیشینگ بالاست.

✅ آیا نصب از طریق دکمه “افزودن به صفحه Home” انجام شده؟
اپلیکیشن‌های قانونی موبایل از Google Play یا App Store نصب می‌شوند. نصب از مرورگر باید همیشه علامت هشدار باشد.

✅ استفاده از TLS معتبر، ولی غیرمرتبط
مهاجمان از TLS برای پوشش قانونی بودن استفاده می‌کنند. اما با بررسی دامنه (SSL issuer) می‌توان دید که گواهی برای دامنه‌های مشکوک صادر شده، نه برندهای رسمی.

✅ ظاهر بیش از حد مشابه اپ‌های مشهور
اگر آیکون، فونت یا رابط کاربری بسیار شبیه به اپلیکیشن‌هایی مانند TikTok یا ChatGPT باشد ولی اپلیکیشن رسمی نیست، احتمال فیشینگ وجود دارد.

🧪 تحلیل تکنیکی در سطح امنیت شبکه یا SOC

✅ بررسی رفتار Service Worker
PWAها از طریق Service Worker کار می‌کنند. بررسی رفتار غیرعادی در کش کردن صفحات، ثبت ریکوئست‌های پس‌زمینه یا دسترسی‌های خارج از عرف می‌تواند نشانه حمله باشد.

✅ تحلیل دامنه و اتصال خروجی (Outbound Traffic Analysis)

• اتصال‌های غیرمعمول به IPهای ناشناخته یا دامنه‌های تازه ثبت‌شده (less than 30 days old)
• ارسال اطلاعات حساس مانند کوکی، session ID یا credential به سرور خارج از کشور
• ریکوئست‌های POST پنهان به دامنه‌ای متفاوت از دامنه رابط کاربری

✅ لاگ‌گیری مرورگرها و بازرسی WebAPK نصب‌شده
فایل‌های WebAPK معمولاً در دایرکتوری‌های سیستم ذخیره نمی‌شوند ولی با ابزارهای forensic روی گوشی (مثل adb shell pm list packages(می‌توان لیست اپلیکیشن‌ها را تحلیل کرد و PWAهای مشکوک را جدا ساخت.

📌 توصیه نهایی برای متخصصان امنیت

🔐 تکنولوژی PWA به‌خودی‌خود خطرناک نیست، ولی سوءاستفاده از آن در حال افزایش است.
در صورتی که سازمان شما مدل BYOD دارد یا کارکنان از گوشی شخصی برای دسترسی به سرویس‌های سازمانی استفاده می‌کنند، پایش دقیق نصب PWAها در سیاست امنیت موبایل حیاتی است.

✅ راهکارهای پیشنهادی برای متخصصان امنیت

در سطح کلاینت:

✔️ بررسی و محدودسازی نصب مستقیم PWA در مرورگرهای سازمانی

✔️ استفاده از Secure Web Gateway با لیست سیاه دامنه‌های مشکوک

✔️ پیکربندی MDM برای هشدار هنگام نصب اپ خارج از Store

در سطح SOC :

✔️ پایش رفتار مرورگرهای موبایل برای رفتارهای مشکوک مرتبط با Service Worker

✔️ تحلیل ترافیک DNS برای دامنه‌هایی که WebAPK ارائه می‌دهند

✔️ بررسی لاگ‌های نصب اپلیکیشن در دستگاه‌های BYOD

در سطح آموزش کاربران:

✔️ اطلاع‌رسانی درباره خطرات کلیک روی دکمه‌های Add to Home Screen

✔️ آموزش تفاوت PWA با اپلیکیشن‌های واقعی و نحوه شناسایی جعلی‌ها

✔️ هشدار درباره وارد کردن اطلاعات حساس در محیط‌های غیررسمی

نتیجه‌گیری نهایی

این حمله نشان‌دهنده ظهور نسل جدیدی از تهدیدات سایبری موبایل‌محور است که با کمک فناوری‌های قانونی مانند PWA انجام می‌شود. سازمان‌هایی که همچنان صرفاً بر کنترل‌های سنتی متکی هستند، به‌راحتی در برابر این حملات آسیب‌پذیر خواهند بود.

🛡️ اکنون زمان آن رسیده که در سیاست‌های امنیت موبایل، PWA را به‌عنوان یک بردار تهدید جدی در نظر بگیریم و راهکارهای دفاعی خود را با سرعت به‌روزرسانی کنیم.