Согласно заявлениям Асафа Ашкенази, генерального директора компании по кибербезопасности Verimatrix, от 18 июля новый тип атаки на мобильные приложения представляет собой растущую угрозу для пользователей криптовалюты.
Новая угроза называется «оверлейная атака». Он работает путем создания поддельного интерфейса на устройстве пользователя. По словам Ашкенази, этот интерфейс затем используется для получения от пользователя фишинговой информации, включая имена пользователей, пароли и даже коды 2FA. Как только эта информация получена, злоумышленник использует ее для отправки информации в реальный интерфейс целевого приложения.
Чтобы осуществить оверлейную атаку, злоумышленнику необходимо сначала убедить пользователя загрузить приложение на свое мобильное устройство. Эксплуататоры наложения экрана обычно маскируются под игры или другие забавные приложения. Когда пользователь открывает приложение, кажется, что оно работает так, как задумано.
«Какая бы игра это ни была, [она] может быть даже […] копией популярной игры, и она будет выполнять эту функциональность», — заявил Ашкенази. Поскольку приложение работает по назначению, пользователь обычно не подозревает, что оно вредоносное.
Фактически, приложение «не имеет никакой вредоносной активности, кроме одного: оно отслеживает, когда […] запускается целевое приложение». Целевым приложением может быть банк, криптовалютная биржа, криптовалютный кошелек или другое конфиденциальное приложение. Как только целевое приложение запускается пользователем, вредоносное приложение создает «точную копию» интерфейса, используемого в целевом приложении.
Например, если пользователь запускает приложение обмена, вредоносное приложение создает поддельный пользовательский интерфейс, который выглядит точно так же, как интерфейс обмена, но на самом деле контролируется злоумышленником. Какую бы информацию пользователь ни вводил в поддельный интерфейс, она перехватывается злоумышленником, а затем эта информация передается в настоящее приложение, предоставляя злоумышленнику доступ к учетной записи.
Ашкенази предупредил, что двухфакторная аутентификация (2FA) обычно не может защитить пользователя от такого рода атак. Если 2FA включена, злоумышленник просто подождет, пока пользователь введет свое текстовое сообщение или код приложения для аутентификации, который затем будет перехвачен, как и другие учетные данные.
Связанный: Приложение Authy 2FA опубликовало номера телефонов, которые могут быть использованы для текстового фишинга
Во многих случаях вредоносное приложение приводит к потемнению экрана пользователя, заставляя его поверить, что его телефон разряжен или сломался. «Как только они [получат] доступ к вашей учетной записи, на вашем телефоне появится черный экран», — заявил генеральный директор Verimatrix. «Итак, ваш телефон все еще работает, но вы ничего не видите [,] [s] или думаете, что ваш телефон не работает». Это дает злоумышленникам время опустошить учетные записи жертвы, поскольку они вряд ли поймут, что подверглись нападению, пока не станет слишком поздно.
Ашкенази заявил, что банковские приложения являются одной из крупнейших целей оверлейных атак. Однако биржи криптовалют также подвергаются риску, поскольку они полагаются на ту же парадигму имени пользователя/пароля/2FA, что и банковские приложения. Генеральный директор заявил, что он не видел приложения-кошелька с криптовалютой, не связанного с хранением, подвергшегося этой атаке, но ситуация может измениться в будущем.
Ашкенази подчеркнул, что оверлейные атаки выполняются на собственном устройстве пользователя, которое содержит закрытый ключ кошелька, поэтому требование криптографической подписи для каждой транзакции не обязательно защитит пользователя.
Verimatrix попыталась сотрудничать с Google, чтобы удалить приложения для атак с наложением из магазина Google Play. Но поймать их всех сложно. В отличие от большинства вредоносных приложений, приложения для наложенных атак не выполняют никаких вредоносных действий до тех пор, пока пользователь не загрузит целевое приложение.
По этой причине эти приложения обычно кажутся безобидными, когда их проверяют программы обнаружения вредоносных программ. «Они видят игру, но не видят вредоносной деятельности, потому что она ничего не делает», — заявил Ашкенази.
Он рекомендовал централизованным службам использовать системы мониторинга для обнаружения наложенных атак и их блокировки из базы данных приложения. Это одна из услуг, которые Verimatrix предоставляет клиентам.
Однако он предположил, что потребители могут принять меры, чтобы защитить себя, даже если их любимые приложения не используют такие службы мониторинга.
Во-первых, пользователям следует скептически относиться к приложениям, которые кажутся слишком хорошими, чтобы быть правдой. «Если вы видите что-то, что дает вам игры, которые обычно стоят денег, или что-то действительно хорошее и бесплатное, […] вы должны это заподозрить», — заявил он. Во-вторых, пользователи не должны предоставлять приложениям разрешения, которые им не нужны, поскольку атаки с наложением не могут быть выполнены без того, чтобы пользователь не предоставил приложению разрешение на создание наложения.
В-третьих, родителям следует подумать о приобретении отдельного мобильного устройства для своих детей, поскольку в ходе исследования Verimatrix обнаружила, что многие приложения для атак с использованием оверлеев загружаются детьми без ведома родителей. Это связано с тем, что злоумышленники часто маскируют свои приложения под игры, которые нравятся детям.
«Если вы можете себе это позволить и у вас есть что-то интересное для детей, не смешивайте», — заявил генеральный директор. «Пусть они веселятся. Но тогда не получайте доступа ни к чему важному с этого устройства».
Вредоносное ПО продолжает угрожать пользователям криптовалюты.29 марта база данных вредоносных программ Vx-underground предупредила, что мошенники Call of Duty украли свои биткоин с помощью своего читерского программного обеспечения. В январе еще один набор вредоносных программ, истощающих криптовалюту, был нацелен на пользователей пиратских приложений, работающих на устройствах MacOS.
