Згідно із заявами Асафа Ашкеназі, генерального директора фірми з кібербезпеки Verimatrix, від 18 липня новий тип атак на мобільні додатки становить все більшу загрозу для користувачів криптовалюти.

Нова загроза називається «накладна атака». Він працює шляхом створення підробленого інтерфейсу на пристрої користувача. Потім цей інтерфейс використовується для фішингу інформації від користувача, включаючи імена користувачів, паролі та навіть коди 2FA, заявив Ашкеназі. Отримавши цю інформацію, зловмисник використовує її для надсилання інформації в реальний інтерфейс цільової програми.

Щоб здійснити оверлейну атаку, зловмисник повинен спочатку переконати користувача завантажити програму на свій мобільний пристрій. Експлуататори екранних накладень зазвичай маскуються під ігри чи інші веселі програми. Коли користувач відкриває програму, здається, що вона працює належним чином.

«Яка б це не була гра, [вона] може бути навіть [...] копією популярної гри, і вона виконуватиме цю функцію», — заявив Ашкеназі. Оскільки програма працює належним чином, користувач зазвичай не підозрює, що вона шкідлива.

Насправді програма «не має жодних зловмисних дій, окрім одного, вона відстежує, коли [...] запускається цільова програма». Цільовою програмою може бути банк, криптобіржа, криптогаманець або інша конфіденційна програма. Після того, як користувач запускає цільову програму, шкідлива програма створює «точну копію» інтерфейсу, який використовується в цільовій програмі.

Наприклад, якщо користувач запускає свою програму обміну, шкідлива програма створює підроблений інтерфейс користувача, який виглядає точно так само, як інтерфейс обміну, але насправді контролюється зловмисником. Будь-яка інформація, яку користувач вводить у підроблений інтерфейс, захоплюється зловмисником, а потім ця інформація передається в справжню програму, надаючи зловмиснику доступ до облікового запису.

Ашкеназі попередив, що двофакторна автентифікація (2FA) зазвичай не може захистити користувача від такого роду атак. Якщо 2FA увімкнено, зловмисник просто чекатиме, доки користувач введе своє текстове повідомлення або код програми автентифікації, який потім буде перехоплено, як і інші облікові дані.

За темою: програма Authy 2FA злила номери телефонів, які можуть використовуватися для текстового фішингу

У багатьох випадках шкідлива програма спричиняє затемнення екрана користувача, змушуючи його думати, що його телефон розрядився або вийшов з ладу. «Як тільки вони [заходять] у ваш обліковий запис, вони поміщають чорний екран на ваш телефон», — заявив генеральний директор Verimatrix. «Тож ваш телефон все ще працює, але ви нічого не бачите[,] [s]тому ви думаєте, що ваш телефон не працює». Це дає зловмисникам час злити облікові записи жертви, оскільки вони навряд чи усвідомлять, що їх атакують, поки не стане надто пізно.

Ашкеназі заявив, що банківські додатки є однією з найбільших цілей оверлейних атак. Однак криптобіржі також знаходяться під загрозою, оскільки вони покладаються на ту саму парадигму імені користувача/паролю/2FA, яку використовують банківські програми. Генеральний директор стверджував, що він не бачив програми для крипто-гаманців, яка не є опікуном, націленою на цю атаку, але це може змінитися в майбутньому. 

Ашкеназі підкреслив, що атаки з накладанням виконуються на власному пристрої користувача, який містить приватний ключ гаманця, тому вимога криптографічного підпису для кожної транзакції не обов’язково захистить користувача.

Компанія Verimatrix намагалася співпрацювати з Google, щоб видалити додатки для накладання атак із магазину Google Play. Але зловити їх усіх складно. На відміну від більшості зловмисних програм, програми для накладання атаки не виконують жодних шкідливих дій, доки користувач не завантажить цільову програму.

З цієї причини ці програми зазвичай здаються невинними, коли їх перевіряють програми виявлення шкідливих програм. «Вони бачать гру, вони не бачать зловмисної діяльності, тому що вона нічого не робить», — заявив Ашкеназі.

Він рекомендував централізованим службам використовувати системи моніторингу для виявлення накладених атак і блокувати їх у базі даних програми. Це одна з послуг, яку Verimatrix надає своїм клієнтам.

Однак він припустив, що споживачі можуть вжити заходів, щоб захистити себе, навіть якщо їхні улюблені програми не використовують такі служби моніторингу.

По-перше, користувачі повинні скептично ставитися до програм, які виглядають занадто добре, щоб бути правдою. «Якщо ви бачите щось, що дає вам ігри, які зазвичай коштують грошей, або щось дійсно хороше і безкоштовне, [...] ви повинні це підозрювати», — заявив він. По-друге, користувачі не повинні надавати додаткам дозволи, які їм не потрібні, оскільки атаки на накладання не можуть бути здійснені, якщо користувач не надасть додатку дозвіл на створення накладання.

По-третє, батьки повинні подумати про придбання окремого мобільного пристрою для своїх дітей, оскільки компанія Verimatrix у своєму дослідженні виявила, що діти завантажують багато додатків для накладання атак без відома батьків. Це тому, що зловмисники часто маскують свої програми під ігри, які подобаються дітям.

«Якщо ви можете собі це дозволити і у вас є щось, що приносить дітям задоволення, не змішуйте», — заявив генеральний директор. «Нехай вони розважаються. Але тоді не отримуйте доступ до чогось важливого з цього пристрою».

Зловмисне програмне забезпечення продовжує загрожувати користувачам криптовалюти. 29 березня база даних зловмисного програмного забезпечення Vx-underground попередила, що шахраї Call of Duty викрадують їхні біткойни їхнім програмним забезпеченням для шахраїв. У січні ще один набір зловмисних програм, які викачують криптографію, був націлений на користувачів піратських програм, які працюють на пристроях macOS.

Журнал: Crypto-Sec: Evolve Bank постраждав від витоку даних, ентузіаст Turbo Toad втратив 3,6 тисячі доларів