You are currently viewing Veszélyben a banki adataid: Új Android támadás kifosztja a számládat
Képforrás: Unsplash

Veszélyben a banki adataid: Új Android támadás kifosztja a számládat

Hirdetések
99bitcoin-tokens

Hackerek elkezdték kihasználni az Android WebAPK technológiát arra, hogy embereket vegyenek rá rosszindulatú szoftverek telepítésére az eszközeiken, erről egy, a Lengyel Pénzügyi Felügyeleti Hatóság Számítógépes Biztonsági Incidens Reagáló Csoportjának (CSIRT KNF) új jelentése számol be.

Az Android WebAPK az alapja a progresszív webalkalmazásoknak, más néven PWAs-nak. Ez a hibrid megoldás egyesíti a webalkalmazások és az eredeti alkalmazások jellemzőit. Néhány fejlesztő “telepíthető weboldalaknak” hívja a progresszív webalkalmazásokat, mivel azokat az eszközre lehet telepíteni, és olyan funkciókat kínálnak, mint a push értesítések, amelyek általában nem részei egy webalkalmazásnak.

Ráadásul, amikor a felhasználók progresszív webalkalmazásokat telepítenek, nem kell a Play Store-on keresztül menniük. A Google így magyarázza:

“Amikor a felhasználó egy PWA-t telepít a Google Chrome-ból és egy WebAPK-t használ, a “minta” szerver “minta” (csomagot) és aláír egy APK-t a PWA számára.” Ez a folyamat viszonylag lassú, de ha egyszer megtörtént, a böngésző a cél eszközön csendben telepíti az eszközt, anélkül, hogy a biztonságot letiltaná, mivel egy megbízható szolgáltató már aláírta az APK-t.

Ebben a konkrét esetben ismeretlen fenyegetők kezdtek szöveges üzeneteket küldeni az ügyfeleknek, utánozva a lengyel PKO Bank Polski bankot. A szöveges üzenetben azt mondják, hogy a banki alkalmazást frissíteni kell, és megosztanak egy linket, ahol ezt megtehetik. Azok, akik a linkre kattintanak, nem a Play Store-ba vagy egy másik Android alkalmazás tárolóba kerülnek, hanem inkább egy weboldalra, ahol a WebAPK technológiát használják a rosszindulatú szoftver telepítésére.

A rosszindulatú alkalmazás telepítése után a felhasználóknak be kell írniuk a bejelentkezési adataikat, valamint a többlépcsős hitelesítés (2FA) kódjukat, így a támadók minden információt megkapnak, amire szükségük van a teljes fiók kiürítéséhez.

Elemzés: Miért fontos ez?

A banki trójaiak nagy kockázatot jelentenek, mivel hatalmas anyagi károkat okozhatnak. A fenyegetés mögött álló személyek ritkán kerülik el a fogyasztókat, így a kockázat annál nagyobb. Ráadásul a támadók mindent megtesznek annak érdekében, hogy a lehető legjobban utánozzák a bankot, létrehozzák a szinte azonos landing oldalakat és utánozzák a bankok kommunikációs stílusát és hangját.

Ez a kampány különösen veszélyes, mert új technológiákat használ ki és új visszaéléseket tesz lehetővé. Így az áldozatokat meglepheti, még azokat is, akik általában biztonsági tudatúak és tisztában vannak a phishing (adathalászat) és a social engineering veszélyeivel. Ha a kampány sikeresnek bizonyul, valószínű, hogy más fenyegető szereplők is felugranak a bandwagonra.

A rosszindulatú alkalmazások elleni védekezés érdekében a felhasználóknak először is óvatosnak kell lenniük új alkalmazások telepítésekor, vagy jelenlegi szoftveres appjuk frissítésekor. A legjobb megoldás az, ha tartózkodnak olyan alkalmazások telepítésétől, amelyeket nem találnak hivatalos repozitóriumokban, mint például a Play Store vagy a Samsung Galaxy store.

A felhasználóknak mindent alaposan ellenőrizniük kell, amit SMS-ben, e-mailben vagy a közösségi médián keresztül kapnak. Ha egy alkalmazás szöveges üzenetben kéri a frissítést, nyissák meg a hivatalos weboldalt vagy az alkalmazásbolt oldalát, és ellenőrizzék, hogy elérhető-e a frissítés. A felhasználók megtalálhatják az alkalmazás legújabb verzióját is, és összehasonlíthatják a számokat azzal, amit már telepítettek.

Végül a felhasználóknak be kell tartaniuk a Google Play Protect-et, mivel ez egy ingyenes antivírus alkalmazás, amely a legtöbb Android telefonnal rendelkezik, és képes jelezni a jelenlegi malware legnagyobb részét. A felhasználók mindig telepíthetnek egy másik Android antivírus alkalmazást is.

Mit mondtak mások a kampányról?

Hirdetések

A Cybersec blogjának írásában a WebAPK technológia cyberbűnözésben való visszaéléséről is szó esik, azt is mondja, hogy a bűnözők párosítják a támadást az utánzásokkal, hogy megkerüljék a bank által beállított bármilyen biztonsági intézkedést:

“A WebAPK támadáson túl a kiberbűnözők speciális eszközökkel is utánozzák a kompromittált számlatulajdonosokat, és kijátszák az anti-fraud rendszereket,” írja a jelentés. “Ezek az eszközök, amelyeket a sötét weben hirdetnek, képesek hamisítani a mobil eszközök ujjlenyomatát és más szoftver- és hálózati paramétereket, amelyeket az anti-fraud rendszerek elemznek. Ez lehetővé teszi a fenyegetők számára, hogy engedély nélküli tranzakciókat hajtsanak végre okostelefonokon, olyan banki malware-ket használva, mint a TimpDoor és a Clientor.”

A Tom’s Guide viszont arra figyelmezteti a felhasználókat, hogy a WebAPK-kon keresztül terjesztett rosszindulatú alkalmazások “különösen nehéz” a kiberbiztonsági kutatók számára nyomon követni, mivel a WebAPK-knak minden eszközön más a csomagnév és a checksum (lásd lentebb). Továbbá, jelenleg csak a lengyel bankot, a PKO Bank Polski-t utánozzák. Azonban ez bármikor megváltozhat, a bűnözők amerikai, brit és világszerte működő bankokat is célozhatnak, állítja a kiadó. Ezért a felhasználóknak ébereknek kell maradniuk, függetlenül attól, ki küldte az üzenetet, vagy hogyan.

A checksum, magyarul ellenőrzőösszeg, egy számítások alapján létrehozott érték, amit adatblokkok hibadetekciójára és hibaellenőrzésére használnak. Ezt az értéket úgy hozzák létre, hogy az adatok bitjeit egy bizonyos módszer szerint összeadják.

Ez a módszer segít ellenőrizni az adatintegritást, mivel a kisebb adatblokkoknak is meg kell egyezniük az eredeti ellenőrzőösszeggel. Ha egy adatblokk módosul, az ellenőrzőösszeg is megváltozik, így a rendszer észleli a változást, és jelezheti a hibát.

Például, ha egy fájlt letöltünk az internetről, a szerver gyakran ad meg egy checksum értéket. Miután a fájl megérkezik a számítógépünkre, a számítógépünk újrakalkulálja a checksum értéket a fájlból, és összehasonlítja az eredeti, a szerver által küldött értékkel. Ha a két érték megegyezik, a fájl sértetlenül érkezett meg. Ha nem egyeznek, akkor valószínűleg hiba történt a letöltés során, és a fájlt újra kell töltenünk.

További hírek:

  • Az Apple továbbra is kitart a sportok élő közvetítésének ötlete mellett
  • Forradalmi: jön a gördíthető kijelzős iPhone?

Forrás

Nagy Béla

Kezdő szövegíró, és marketinges aki imádja a technológia világát. Kedvencei közé tartoznak az okostelefonok, és a számítógépek. De bármilyen Bluetooth-os kütyüvel eljátszik szabadidejében.