אפליקציות מזויפות לסחר במטבעות קריפטוגרפיים ב-Google Play גונבות סיסמאות
מאת:
מערכת Telecom News, 23.10.17, 12:57
אפליקציות מזויפות הגונבות פרטי כניסה לתוכנת סחר במטבעות קריפטוגרפיים התגלו בחנות האפליקציות הרשמית של גוגל. כיצד הן פועלות שלב אחר שלב? איך מתגוננים?
חוקרי חברת האבטחה
ESET גילו, שמשתמשים של התוכנה
Poloniex הפופולרית, שמשמשת לסחר במטבעות קריפטוגרפיים, נפלו קורבן ל-2 אפליקציות לגניבת סיסמאות, שהציגו את עצמן בחנות האפליקציות של
Google במסווה של תוכנות סחר לגיטימיות. חוץ מגניבת סיסמאות הגישה ל-
Poloniex, הנוכלים, שמאחורי התוכנות המזויפות, גם ניסו לגרום לקורבנות לתת להם גישה לחשבונות ה-
Gmail שלהם.
Poloniex היא אחת מהתוכנות המובילות בעולם לסחר במטבעות קריפטוגרפיים, וניתן לסחור בה ביותר מ-100 מטבעות וירטואליים. זה לבד הופך את התוכנה למטרה אטרקטיבית עבור נוכלים מכל הסוגים, אך במקרה זה העבריינים ניצלו את העובדה, שלא הייתה אפליקציה רשמית.
בעקבות הרעש, שעוררו המטבעות הקריפטוגרפיים, פושעי סייבר מנסים לתפוס כל הזדמנות שהם יכוליםף בין אם זה ניצול כוח המחשב של המשתמשים כדי
לכרות מטבעות וירטואליים דרך דפדפנים או באמצעות
הדבקת מחשבים לא מוגנים, ובין אם באמצעות תרמיות שונות המשתמשות באתרי ובאפליקציות פישינג מזויפות.
האפליקציות הזדוניות
האפליקציה הזדונית הראשונה התגנבה לחנות האפליקציות של
Google בשם "
POLONIEX", תחת מפתח בשם "
Poloniex". מה-29 לאוגוסט ועד ה-19 בספטמבר, האפליקציה הותקנה ע"י 5,000 משתמשים, זאת למרות דירוגים מעורבים וביקורות לא-מחמיאות.
האפליקציה השנייה, "
POLONIEX EXCHANGE" של המפתח "
POLONIEX COMPANY", הופיעה בחנות האפליקציות של
Google ב-15 לאוקטובר והגיעה ל-500 התקנות לפני שהוסרה מהחנות לאחר הודעה מטעם
ESET.
בנוסף על ההודעה ל
Google-, הודיעו חוקרי
ESET גם ל-
Poloniex על המתחזים הזדוניים.
תמונה 1. האפליקציות המזויפות כפי שנראו בחנות האפליקציות של Google
תמונה 2. ביקורות על אחת האפליקציות בחנות האפליקציות של Google
כיצד הן פועלות?
כדי להשתלט בהצלחה על חשבון
Poloniex באמצעות האפליקציה הזדונית, התוקפים צריכים תחילה להשיג את נתוני הגישה לחשבון. לאחר מכן, עליהם להשיג גישה לחשבון הדואר האלקטרוני הקשור לחשבון ה-
Poloniex הפרוץ. זאת, כדי לשלוט בהתראות בנוגע להתחברויות והעברות לא-מאושרות. לבסוף, על התוקפים לגרום לכך, שהאפליקציה שלהם תיראה כאילו היא מתפקדת, כדי לעורר כמה שפחות חשד במהלך התהליך.
2 האפליקציות משתמשות בשיטה הזו כדי להגיע למטרה זו.
גניבת נתוני הגישה מתרחשת ברגע בו המשתמש מוריד את אחת האפליקציות. התוכנה הזדונית מציגה מסך מזויף בו היא מבקשת את נתוני הגישה ל-
Poloniex (תמונה 3). אם המשתמש מזין את פרטי הכניסה ולוחץ על "התחבר", נתוני הגישה נשלחים לתוקף.
במידה והמשתמש לא אפשר את האימות הדו-שלבי (
2-factor authentication, 2FA) בחשבון ה-
Poloniex שלו, התוקפים יקבלו גישה לחשבון זה. זה אומר, שהתוקפים יכולים לבצע העברות בשמו של המשתמש, לשנות את ההגדרות שלו, או אפילו לנעול אותו מחוץ לחשבון באמצעות שינוי הסיסמה שלו.
אם המשתמש כן משתמש באימות דו-שלבי, החשבון שלו מוגן מפני הפולשים. זאת, מכיוון ש-
Poloniex מציעה למשתמשים אימות דו-שלבי דרך
Google Authenticator, שמייצרת סיסמאות כניסה אקראיות הנשלחות למשתמש באמצעות הודעת
SMS, שיחה קולית או דרך האפליקציה – כולם מקומות, שאינם נגישים לתוקפים.
תמונה 3. מסך כניסה מזויף האוסף נתוני גישה ל-Poloniex
אם הנוכלים הצליחו, הם מתחילים לעבוד על קבלת גישה לחשבון ה-
Gmail של המשתמש. המשתמש רואה הודעה, שנראית כאילו היא מטעם
Google, שמבקשת ממנו להתחבר לחשבון ה-
Google שלו "בשביל בדיקת אימות דו-שלבית" (תמונה 4). לאחר שהמשתמש לוחץ על "התחבר", האפליקציה הזדונית מבקשת הרשאה לצפייה בהודעות הדוא"ל של המשתמש, בהגדרותיו ובנתוני פרופיל בסיסיים (תמונה 5). אם המשתמש נותן את ההרשאות, האפליקציה מקבלת גישה לתיבת הדואר הנכנס שלו.
כשיש להם גישה גם לחשבון ה-
Poloniex של המשתמש וגם לחשבון ה-
Gmail הקשור אליו, התוקפים יכולים לבצע העברות בשמו של המשתמש ולמחוק כל התראה בנוגע לכניסות והעברות לא-מאושרת מתיבת הדואר הנכנס שלהם.
תמונהנ 4. הודעה המתחזה ל-Google ומבקשת מהמשתמש להתחבר ל-Gmail
תמונה 5. האפליקציה הזדונית מבקשת גישה לתיבות הדוא"ל
בשלב האחרון, האפליקציה מפנה את המשתמש לאתר הבית האמיתי של
Poloniex, שם הוא מתבקש להתחבר לחשבון (תמונה 6), במטרה לגרום לאפליקציה להיראות כאילו היא אכן מתפקדת. לאחר שהמשתמש מתחבר הוא יכול להשתמש באתר
Poloniex האמיתי. משם והלאה, בכל פעם שהאפליקציה תופעל היא תפתח את אתר
Poloniex האמיתי.
תמונה 6. הגרסה המובייל של אתר Poloniex האמיתי נפתחת ע"י האפליקציה הזדונית
דרך אחרת בה התוקפים נוקטים כדי להימנע מלהתגלות ע"י מנתחי בטיחות, במקרה הזה, היא באמצעות מיסוך הכתובות אליהן נשלחים נתוני הגישה הגנובים, באמצעות טריקים של תווי יוניקוד. כתוצאה מכך, הכתובות
hxxp://połoniex.com ו-
hxxp://poloniėx.com/עלולות להיראות לגיטימיות בעת שסוקרים אותן באופן ידני.
כיצד מתגוננים?
אם אתם משתמשים ב-
Poloniex והתקנתם את אחת מהאפליקציות הזדוניות האלו, התחילו בהסרה שלהן. אל תשכחו לשנות גם את הסיסמה ל-
Poloniex וגם ל-
Gmail, ושקלו שימוש באימות דו-שלבי במידה והאפשרות קיימת.
אלה הדברים, שאתם יכולים לעשות כדי להימנע מנפילה למלכודותיהם של עברייני רשת בעתיד:
- וודאו, שהשירות בו אתם משתמשים אכן מציע אפליקציה לסמארטפון. אם זהו המקרה, האפליקציה אמורה להיות מחוברת לאתר האינטרנט הרשמי של השירות.
- שימו לב לדירוגי האפליקציה ולביקורות עליה.
- היזהרו מאפליקציות צד-שלישי המציגות התראות וחלונות הנראים כאילו הם מקושרים ל-Google. עברייני סייבר מרבים לנצל את האמון, שמשתמשים נותנים ב-Google.
- השתמשו באימות דו-שלבי כשכבת הגנה נוספת (ולעיתים קרובות אף הכרחית).
- השתמשו בפתרון אבטחה אמין למובייל.