Jak wynika z oświadczeń Asafa Ashkenazi, dyrektora generalnego firmy Verimatrix, zajmującej się bezpieczeństwem cybernetycznym, nowy rodzaj ataku na aplikacje mobilne stwarza rosnące zagrożenie dla użytkowników kryptowalut.
Nowe zagrożenie nosi nazwę „ataku nakładkowego”. Działa poprzez utworzenie fałszywego interfejsu na urządzeniu użytkownika. Interfejs ten jest następnie wykorzystywany do wyłudzania informacji od użytkownika, w tym nazw użytkowników, haseł, a nawet kodów 2FA – stwierdził Ashkenazi. Po uzyskaniu tych informacji osoba atakująca wykorzystuje je do przesłania informacji w rzeczywistym interfejsie docelowej aplikacji.
Aby przeprowadzić atak nakładkowy, atakujący musi najpierw przekonać użytkownika do pobrania aplikacji na swoje urządzenie mobilne. Wykorzystujące nakładki ekranowe są zwykle zamaskowane jako gry lub inne zabawne aplikacje. Kiedy użytkownik otwiera aplikację, wydaje się, że działa ona zgodnie z oczekiwaniami.
„Bez względu na to, jaka to gra, może to być nawet [...] kopia popularnej gry i będzie spełniać tę funkcję” – stwierdził Ashkenazi. Ponieważ aplikacja działa zgodnie z przeznaczeniem, użytkownik zazwyczaj nie podejrzewa, że jest złośliwa.
W rzeczywistości aplikacja „nie wykazuje żadnej złośliwej aktywności poza jednym: monitoruje [...] uruchomienie docelowej aplikacji”. Docelową aplikacją może być bank, giełda kryptowalut, portfel kryptowalut lub inna wrażliwa aplikacja. Po uruchomieniu aplikacji docelowej przez użytkownika złośliwa aplikacja tworzy „dokładnie tę samą kopię” interfejsu używanego w aplikacji docelowej.
Na przykład, jeśli użytkownik uruchomi aplikację wymiany, złośliwa aplikacja tworzy fałszywy interfejs użytkownika, który wygląda dokładnie tak samo jak interfejs wymiany, ale w rzeczywistości jest kontrolowany przez osobę atakującą. Wszelkie informacje, które użytkownik wprowadzi do fałszywego interfejsu, są przechwytywane przez osobę atakującą, a następnie przekazywane do prawdziwej aplikacji, dając atakującemu dostęp do konta.
Aszkenazyjski ostrzegł, że uwierzytelnianie dwuskładnikowe (2FA) zwykle nie jest w stanie ochronić użytkownika przed tego rodzaju atakiem. Jeśli włączona jest funkcja 2FA, osoba atakująca będzie po prostu czekać, aż użytkownik wprowadzi wiadomość tekstową lub kod aplikacji uwierzytelniającej, który następnie zostanie przechwycony tak samo jak inne dane uwierzytelniające.
Powiązane: Wyciek numerów telefonów z aplikacji Authy 2FA, które mogą zostać wykorzystane do phishingu tekstowego
W wielu przypadkach złośliwa aplikacja powoduje przyciemnienie ekranu użytkownika, wmawiając mu, że jego telefon rozładował się lub uległ awarii. „Kiedy [dostaną się] na Twoje konto, wyświetlają czarny ekran na Twoim telefonie” – stwierdził dyrektor generalny Verimatrix. „Więc Twój telefon nadal działa, ale nic nie widzisz [,] [więc] myślisz, że Twój telefon jest martwy.” Daje to atakującym czas na opróżnienie kont ofiary, ponieważ jest mało prawdopodobne, że zorientują się, że zostali zaatakowani, dopóki nie będzie za późno.
Ashkenazi stwierdził, że aplikacje bankowe są jednym z największych celów ataków nakładkowych. Jednak giełdy kryptowalut są również zagrożone, ponieważ opierają się na tym samym paradygmacie nazwy użytkownika/hasła/2FA, z którego korzystają aplikacje bankowe. Dyrektor generalny stwierdził, że nie widział aplikacji portfela kryptowalutowego, która nie podlegałaby kontroli, będącej celem tego ataku, ale może się to zmienić w przyszłości.
Ashkenazi podkreślił, że ataki nakładkowe przeprowadzane są na własnym urządzeniu użytkownika, które zawiera klucz prywatny portfela, zatem wymaganie podpisu kryptograficznego przy każdej transakcji niekoniecznie chroni użytkownika.
Firma Verimatrix podjęła próbę współpracy z Google w celu usunięcia aplikacji atakujących nakładki ze sklepu Google Play. Ale złapanie ich wszystkich jest trudne. W przeciwieństwie do większości złośliwych aplikacji, aplikacje atakujące metodą nakładkową nie wykonują żadnych złośliwych działań, dopóki użytkownik nie załaduje aplikacji docelowej.
Z tego powodu aplikacje te zwykle wydają się niewinne, gdy są sprawdzane przez programy wykrywające złośliwe oprogramowanie. „Widzą grę, nie widzą złośliwej aktywności, ponieważ ona nic nie daje” – stwierdził Ashkenazi.
Zalecił, aby scentralizowane usługi korzystały z systemów monitorowania w celu wykrywania ataków typu overlay i blokowania ich z poziomu bazy danych aplikacji. Jest to jedna z usług, jakie Verimatrix świadczy klientom.
Zasugerował jednak, że konsumenci mogą podjąć działania, aby się chronić, nawet jeśli ich ulubione aplikacje nie korzystają z takich usług monitorowania.
Po pierwsze, użytkownicy powinni podchodzić sceptycznie do aplikacji, które wydają się zbyt piękne, aby mogły być prawdziwe. „Jeśli widzisz coś, co oferuje gry, które zwykle kosztują pieniądze, lub coś, co jest naprawdę dobre i darmowe, […] musisz to podejrzewać” – stwierdził. Po drugie, użytkownicy nie powinni nadawać aplikacjom uprawnień, których nie potrzebują, ponieważ ataki polegające na nakładaniu nie mogą być przeprowadzane bez udzielenia przez użytkownika pozwolenia na utworzenie nakładki.
Po trzecie, rodzice powinni rozważyć zakup osobnego urządzenia mobilnego dla swoich dzieci, ponieważ firma Verimatrix odkryła w swoich badaniach, że wiele aplikacji atakujących za pomocą nakładek jest pobieranych przez dzieci bez wiedzy rodziców. Dzieje się tak dlatego, że napastnicy często maskują swoje aplikacje jako gry atrakcyjne dla dzieci.
„Jeśli możesz sobie na to pozwolić i masz coś, co sprawi radość dzieciom, nie mieszaj” – stwierdził dyrektor generalny. „Niech oni się bawią. Ale wtedy nie uzyskuj dostępu do niczego ważnego z tego urządzenia.”
Złośliwe oprogramowanie w dalszym ciągu zagraża użytkownikom kryptowalut. 29 marca baza danych złośliwego oprogramowania Vx-underground ostrzegła, że oprogramowanie do oszukiwania w Call of Duty kradnie Bitcoiny. W styczniu kolejny zestaw szkodliwego oprogramowania drenującego kryptowaluty zaatakował użytkowników pirackich aplikacji działających na urządzeniach z systemem macOS.
Magazyn: Crypto-Sec: Evolve Bank doznał naruszenia bezpieczeństwa danych, entuzjasta Turbo Toad traci 3,6 tys. dolarów