С начала пандемии COVID-19 резко возросло использование мобильных устройств для онлайн-банкинга. Использование смартфонов для онлайн-банкинга обеспечивает превосходное качество обслуживания, однако привлекает внимание киберпреступников, мошенников и хакеров, все чаще совершающих атаки на мобильные устройства.
Недавно специалисты из отдела по исследованию угроз компании Cleafy обнаружили программу Revive – новое вредоносное ПО для Android, нацеленное на один из крупнейших банков со значительной долей присутствия в Европе и Латинской Америке. Не менее недели вредоносную программу Revive не удавалось обнаружить с помощью традиционных антивирусных решений. Впервые она была выявлена инструментами компании Cleafy 15 июня 2022 года, однако до сих пор большинство антивирусных инструментов не способны ее обнаружить.
В этой статье описана вредоносная программа Revive и ее методы атаки на приложения для онлайн-банкинга, а также приведены способы защиты от этой и подобных угроз.
Revive – анализ вредоносного ПО для Android
Вредоносная программа Revive не атакует iOS-устройства. В ее основе лежит шпионское ПО Teardroid с открытым исходным кодом, доступное на GitHub, а принципы и методы ее работы аналогичны другим вредоносным программам для мобильных устройств. Вредоносная программа Revive была разработана для осуществления атак, нацеленных на получение доступа к счетам пользователей с использованием встроенных служб специальных возможностей на устройствах Android.
Для доступа к счетам Revive использует несколько стратегий сбора необходимой конфиденциальной информации. Вредоносное приложение Revive выполняет следующие действия:
• Перехватывает все сообщения, полученные от зараженных устройств, с целью получения кода двухфакторной аутентификации, отправляемого банком пользователю по SMS.
• Отображает собственное окно с поддельным запросом на вход или перевод денег поверх экрана банковского приложения. Это окно используется для кражи учетных данных пользователя и подделки платежной информации.
• Записывает все данные, вводимые пользователем на устройстве: имя пользователя для входа, одноразовые пароли, сообщения, номера телефонов и прочие данные. Затем эта информация сохраняется в локальной базе данных и отправляется на командный сервер.
Обнаружение вредоносных приложений для мобильных устройств и защита от них
Обнаружение новых вредоносных приложений, особенно на платформе Android – одна из важнейших задач по обеспечению безопасности онлайн-банкинга. Предпринимает ли ваша организация меры по защите банковского приложения от вредоносных программ после установки на мобильные телефоны ваших клиентов?
Рассмотрим несколько стратегий и технологий обеспечения безопасности приложений и информации, не допускающих получения данных из мобильного приложения такими способами, которые использует вредоносная программа Revive.
Получение одноразового пароля по SMS и двухфакторная аутентификация
Первая уязвимость возникает на этапе получении одноразового пароля по SMS. SMS-сообщения подвержены многим известным уязвимостям, включая атаки на протокол SS7, по которому осуществляется их передача. При атаках подмены SIM-карт SMS-сообщения могут быть перехвачены вредоносными программами, находящимися на мобильном устройстве пользователя.
Из-за этих уязвимостей невозможно обеспечить конфиденциальность, целостность и подлинность платежной информации, что приводит к несоблюдению требований директивы PSD2 к динамическим ссылкам, используемым для аутентификации финансовых транзакций. Банкам и другим организациям, на деятельность которых распространяются нормативы PSD2, рекомендуется рассмотреть более безопасные методы доставки кодов двухфакторной аутентификации для мобильных платформ, например, push-уведомления или коды безопасности, аналогичные QR-кодам.
Проактивная защита от вредоносных программ
Следующая уязвимость не относится ни к самому приложению, ни к сети. Разработчики приложений часто предполагают, что мобильные операционные системы и официальные магазины приложений предоставляют пользователям все необходимые механизмы безопасности, гарантирующие, что скрытые вредоносные программы не попадут на их устройства. Однако на самом деле мобильные платформы, в особенности с операционной системой Android, не обеспечивают адекватной защиты от вредоносных программ, которые могут установить сами пользователи. Встроенные в приложение элементы обеспечения безопасности также должны гарантировать защиту приложения в неизвестных скомпрометированных средах.
Чтобы снизить риск компрометации приложения, некоторые финансовые организации встраивают (с использованием SDK) в свои мобильные приложения антивирусный компонент, который регулярно выполняет проверку безопасности или, по крайней мере, предоставляют пользователям требования и рекомендации по установке антивирусных решений на мобильные устройства. Основная проблема заключается в том, что функциональные возможности мобильного антивируса весьма ограничены. Кроме того, мобильные антивирусные средства, в основном, направлены на обеспечение реактивной защиты – обнаружение известных вредоносных программ. В случае вредоносной программы Revive, нацеленной на определенную организацию, такой подход не обеспечивает эффективной защиты.
Для устранения рисков заражения мобильных устройств вредоносными программами следует сместить внимание в сторону проактивного подхода – обеспечения защиты не от конкретных вредоносных программ, а от соответствующих векторов атак. На практике это означает, что приложение для онлайн-банкинга должно иметь встроенные элементы управления безопасностью, позволяющие блокировать аномальные или потенциально вредоносные действия: снимок экрана, отображение поверх открытых окон, попытки записи ввода и прочие действия, независимо от того, кем они инициированы.
Уязвимости в функционале
Мобильные операционные системы, особенно Android, имеют множество встроенных функций, которые злоумышленники могут использовать для выполнения вредоносных действий на устройствах пользователей. В частности, Revive использует службу специальных возможностей Android. Кроме того, сама мобильная платформа может иметь недокументированные функции и уязвимости, являющиеся источником дополнительных рисков безопасности для приложений, установленных на устройстве. В связи с этим все мобильные устройства, не зависимо от операционной системы, следует считать ненадежной платформой.
Приложения, обрабатывающие конфиденциальные данные, должны иметь дополнительный уровень безопасности между операционной системой и самим приложением. Это позволит обеспечить доверенную среду выполнения для внутренних компонентов приложения.
Защита мобильных устройств от целевых и общих угроз
Несмотря на высокую эффективность, вредоносная программа Revive не является уникальной. Злоумышленники используют известные способы получения данных, такие как отображение вредоносных сообщений поверх открытых окон и кейлоггеры, чтобы получить личные данные пользователей, необходимые для доступа к их банковским счетам. Устранить такую угрозу позволит понимание принципов ее работы в сочетании с различными способами защиты от атак: с помощью push-уведомлений, подписи транзакций или шилдирования приложений.
Источник: Revive Mobile Malware Analysis: How to Protect Your App
