נחשפו אפליקציות זדוניות העוקפות את ההגבלות של גוגל ממרץ 2019 כדי לגנוב סיסמאות
מאת:
מערכת Telecom News, 17.6.19, 17:45
3 אפליקציות מזויפות הנוגעות למטבעות דיגיטליים משתמשות בשיטה חדשה של עקיפת האימות הדו שלבי ומדיניות ההרשאות החדשה של Google. איך זה עובד ונראה ואיך מתגוננים?
חוקרים של חברת אבטחת המידע
ESET גילו אפליקציות מזויפות המשתמשות בטכניקות חדשות כדי לפרוץ את האימות הדו שלבי (
2FA) באמצעות
SMS.
במרץ 2019,
Google הגבילה את השימוש בהרשאות של
SMS ושיחות קוליות באפליקציות אנדרואיד כדי למנוע מאפליקציות פולשניות להשתמש בהן למטרות לא חוקיות.
האפליקציות:
“BTCTurk Pro Beta“,
“BtcTurk Pro Beta“
“BTCTURK PRO”
מתחזות לאפליקציית חילופי המטבעות הטורקית
BtcTurk וגונבות פרטי התחברות לשירות.
תמונת האפליקציות המזויפות
BtcTurk ב-
Google Play:
לאחר שהאפליקציות המזויפות מותקנות ומופעלות, הן מבקשות הרשאת גישה להודעות. האפליקציה יכולה לקרוא את ההודעות המוצגות של אפליקציות אחרות המותקנות במכשיר, לבטל אותן או ללחוץ על לחצנים הקשורים בהן.
במקום ליירט הודעות
SMS כדי לעקוף את הגנת האימות הדו שלבי בחשבונות ועסקאות המשתמשים, האפליקציות הזדוניות לוקחות את הסיסמה החד-פעמית (
OTP) מההודעות המופיעות בתצוגת המכשיר שבסיכון.
תמונת האפליקציה המזויפת המבקשת גישה להודעות:
מלבד היכולת לקרוא את הודעת האימות הדו שלבית, היישומים יכולים גם למחוק אותן כדי למנוע מהקורבן לשים לב לעסקאות המזויפות המבוצעות. כל 3 האפליקציות הועלו ל-
Google Play ביוני 2019 והורדו במהירות בעקבות הודעת
ESET.
הרשאת הגישה להודעה הונהגה בגרסה 4.3 של אנדרואיד. כלומר, כמעט כל המכשירים רגישים לטכניקה זו. האפליקציות המזויפות דורשות גרסה 5.0 כדי לפעול ולכן יכולות לפגוע בכ-90% מהמכשירים.
לוקאש סטפנקו מהחוקרים של
ESET: "אחת ההשפעות החיוביות של ההגבלות של
Google ממרץ 2019 היתה, שאפליקציות לגניבת אישורים איבדו את האפשרות לנצל לרעה את ההרשאות האלו לעקיפת מנגנוני האימות הדו שלבי המבוססים על מסרונים. עם זאת, עם הגילוי של האפליקציות המזויפות הללו,
יש כאן חשיפה ראשונה של תוכנה זדונית, שעוקפת את ההגבלה הזו".
כיצד מתגוננים?
- כשמדובר באפליקציות הנוגעות למטבעות דיגיטליים או באפליקציות פיננסים אחרות, סמכו רק על אפליקציות אליהן הגעתם מקישור באתר האינטרנט הרשמי של השירות.
- הזינו את המידע הרגיש שלכם בטפסים אינטרנטיים רק אם אתם בטוחים בכך, שהם מאובטחים ולגיטימיים.
- עדכנו את מערכת ההפעלה של המכשיר שלכם.
- השתמשו בפתרון אבטחה אמין לסמארטפון כדי לחסום ולהסיר איומים.
- השתמשו רק באפליקציות אמינות, וגם אז, אשרו הרשאת גישה להודעות רק לאפליקציות, שיש להם סיבה לגיטימית לבקש זאת.