Обнаружение вредоносных приложений для мобильных устройств и защита от них

10.10.2022
Источник: www.onespan.com

С начала пандемии COVID-19 резко возросло использование мобильных устройств для онлайн-банкинга. Использование смартфонов для онлайн-банкинга обеспечивает превосходное качество обслуживания, однако привлекает внимание киберпреступников, мошенников и хакеров, все чаще совершающих атаки на мобильные устройства.


Недавно специалисты из отдела по исследованию угроз компании Cleafy обнаружили программу Revive – новое вредоносное ПО для Android, нацеленное на один из крупнейших банков со значительной долей присутствия в Европе и Латинской Америке. Не менее недели вредоносную программу Revive не удавалось обнаружить с помощью традиционных антивирусных решений. Впервые она была выявлена инструментами компании Cleafy 15 июня 2022 года, однако до сих пор большинство антивирусных инструментов не способны ее обнаружить.

В этой статье описана вредоносная программа Revive и ее методы атаки на приложения для онлайн-банкинга, а также приведены способы защиты от этой и подобных угроз.

Revive – анализ вредоносного ПО для Android

Вредоносная программа Revive не атакует iOS-устройства. В ее основе лежит шпионское ПО Teardroid с открытым исходным кодом, доступное на GitHub, а принципы и методы ее работы аналогичны другим вредоносным программам для мобильных устройств. Вредоносная программа Revive была разработана для осуществления атак, нацеленных на получение доступа к счетам пользователей с использованием встроенных служб специальных возможностей на устройствах Android.

Для доступа к счетам Revive использует несколько стратегий сбора необходимой конфиденциальной информации. Вредоносное приложение Revive выполняет следующие действия:
• Перехватывает все сообщения, полученные от зараженных устройств, с целью получения кода двухфакторной аутентификации, отправляемого банком пользователю по SMS.
• Отображает собственное окно с поддельным запросом на вход или перевод денег поверх экрана банковского приложения. Это окно используется для кражи учетных данных пользователя и подделки платежной информации.
• Записывает все данные, вводимые пользователем на устройстве: имя пользователя для входа, одноразовые пароли, сообщения, номера телефонов и прочие данные. Затем эта информация сохраняется в локальной базе данных и отправляется на командный сервер.

Обнаружение вредоносных приложений для мобильных устройств и защита от них

Обнаружение новых вредоносных приложений, особенно на платформе Android – одна из важнейших задач по обеспечению безопасности онлайн-банкинга. Предпринимает ли ваша организация меры по защите банковского приложения от вредоносных программ после установки на мобильные телефоны ваших клиентов?

Рассмотрим несколько стратегий и технологий обеспечения безопасности приложений и информации, не допускающих получения данных из мобильного приложения такими способами, которые использует вредоносная программа Revive.

Получение одноразового пароля по SMS и двухфакторная аутентификация

Первая уязвимость возникает на этапе получении одноразового пароля по SMS. SMS-сообщения подвержены многим известным уязвимостям, включая атаки на протокол SS7, по которому осуществляется их передача. При атаках подмены SIM-карт SMS-сообщения могут быть перехвачены вредоносными программами, находящимися на мобильном устройстве пользователя.

Из-за этих уязвимостей невозможно обеспечить конфиденциальность, целостность и подлинность платежной информации, что приводит к несоблюдению требований директивы PSD2 к динамическим ссылкам, используемым для аутентификации финансовых транзакций. Банкам и другим организациям, на деятельность которых распространяются нормативы PSD2, рекомендуется рассмотреть более безопасные методы доставки кодов двухфакторной аутентификации для мобильных платформ, например, push-уведомления или коды безопасности, аналогичные QR-кодам.

Проактивная защита от вредоносных программ

Следующая уязвимость не относится ни к самому приложению, ни к сети. Разработчики приложений часто предполагают, что мобильные операционные системы и официальные магазины приложений предоставляют пользователям все необходимые механизмы безопасности, гарантирующие, что скрытые вредоносные программы не попадут на их устройства. Однако на самом деле мобильные платформы, в особенности с операционной системой Android, не обеспечивают адекватной защиты от вредоносных программ, которые могут установить сами пользователи. Встроенные в приложение элементы обеспечения безопасности также должны гарантировать защиту приложения в неизвестных скомпрометированных средах.

Чтобы снизить риск компрометации приложения, некоторые финансовые организации встраивают (с использованием SDK) в свои мобильные приложения антивирусный компонент, который регулярно выполняет проверку безопасности или, по крайней мере, предоставляют пользователям требования и рекомендации по установке антивирусных решений на мобильные устройства. Основная проблема заключается в том, что функциональные возможности мобильного антивируса весьма ограничены. Кроме того, мобильные антивирусные средства, в основном, направлены на обеспечение реактивной защиты – обнаружение известных вредоносных программ. В случае вредоносной программы Revive, нацеленной на определенную организацию, такой подход не обеспечивает эффективной защиты.

Для устранения рисков заражения мобильных устройств вредоносными программами следует сместить внимание в сторону проактивного подхода – обеспечения защиты не от конкретных вредоносных программ, а от соответствующих векторов атак. На практике это означает, что приложение для онлайн-банкинга должно иметь встроенные элементы управления безопасностью, позволяющие блокировать аномальные или потенциально вредоносные действия: снимок экрана, отображение поверх открытых окон, попытки записи ввода и прочие действия, независимо от того, кем они инициированы.

Уязвимости в функционале

Мобильные операционные системы, особенно Android, имеют множество встроенных функций, которые злоумышленники могут использовать для выполнения вредоносных действий на устройствах пользователей. В частности, Revive использует службу специальных возможностей Android. Кроме того, сама мобильная платформа может иметь недокументированные функции и уязвимости, являющиеся источником дополнительных рисков безопасности для приложений, установленных на устройстве. В связи с этим все мобильные устройства, не зависимо от операционной системы, следует считать ненадежной платформой.

Приложения, обрабатывающие конфиденциальные данные, должны иметь дополнительный уровень безопасности между операционной системой и самим приложением. Это позволит обеспечить доверенную среду выполнения для внутренних компонентов приложения.

Защита мобильных устройств от целевых и общих угроз

Несмотря на высокую эффективность, вредоносная программа Revive не является уникальной. Злоумышленники используют известные способы получения данных, такие как отображение вредоносных сообщений поверх открытых окон и кейлоггеры, чтобы получить личные данные пользователей, необходимые для доступа к их банковским счетам. Устранить такую угрозу позволит понимание принципов ее работы в сочетании с различными способами защиты от атак: с помощью push-уведомлений, подписи транзакций или шилдирования приложений.

Автор статьи : Роман Рашевский , Инженер по решениям в компании ‘’OneSpan”

Ознакомиться с многочисленными решениями компании ‘’OneSpan” по идентификации, аутентификации, защите мобильного приложения и электронной подписи документов вы сможете на сайте : www.onespan.com



  • CNY 70.54 -0.31%
  • EUR 546.21 -1.86%
  • RUB 6.13 -0.01%
  • USD 479.26 -1.46%
  • ADA 74.81 +4.23%
  • BNB 265687.42 +0.54%
  • BTC 29215118.74 +3%
  • DOGE 35.15 +1.42%
  • DOT 405.63 +1.1%
  • ETH 785143.4 +2.77%
  • SOL 37713.47 +4.32%
  • TRX 151.51 +0.01%
  • USDT 478.9 +0.04%
  • XRP 511.53 +1.64%