З початку пандемії COVID-19 різко збільшилось використання мобільних пристроїв для онлайн-банкінгу. Використання смартфонів для онлайн-банкінгу забезпечує чудову якість обслуговування, проте привертає увагу кіберзлочинців, шахраїв та хакерів, які все частіше здійснюють атаки на мобільні пристрої.

Нещодавно фахівці з відділу дослідження загроз компанії Cleafy виявили програму Revive – нове шкідливе програмне забезпечення для Android, націлене на один із найбільших банків зі значною часткою присутності в Європі та Латинській Америці. Не менш як тиждень шкідливу програму Revive не вдавалося виявити за допомогою традиційних антивірусних рішень. Вперше її виявили інструменти компанії Cleafy 15 червня 2022 року, проте досі більшість антивірусних інструментів не здатні її виявити.

У цій статті описано шкідливу програму Revive та її методи атаки на програми для онлайн-банкінгу, а також наведено способи захисту від цієї та подібних загроз.

Revive – аналіз шкідливого програмного забезпечення для Android
Шкідлива програма Revive не атакує iOS-пристрої. В її основі лежить шпигунське програмне забезпечення Teardroid з відкритим вихідним кодом, доступне на GitHub, а принципи та методи її роботи аналогічні іншим шкідливим програмам для мобільних пристроїв. Шкідлива програма Revive була розроблена для здійснення атак, націлених на отримання доступу до рахунків користувачів з використанням вбудованих служб спеціальних можливостей на Android пристроях.

Для доступу до рахунків Revive використовує кілька стратегій збору конфіденційної інформації. Шкідливий додаток Revive виконує такі дії:
• Перехоплює всі повідомлення, отримані від заражених пристроїв, з метою отримання коду двофакторної автентифікації, який банк надсилає користувачеві по SMS.
• Відображає власне вікно із підробленим запитом на вхід або переказ грошей поверх екрана банківської програми. Це вікно використовується для крадіжки облікових даних користувача та підробки платіжної інформації.
• Записує всі дані, що вводяться на пристрої: ім’я користувача для входу, одноразові паролі, повідомлення, номери телефонів та інші дані. Потім ця інформація зберігається у локальній базі даних та відправляється на командний сервер.

Виявлення шкідливих програм для мобільних пристроїв та захист від них
Виявлення нових шкідливих програм, особливо на платформі Android – одне з найважливіших завдань із забезпечення безпеки онлайн-банкінгу. Чи вживає ваша організація заходів щодо захисту банківської програми від шкідливих програм після встановлення на мобільні телефони ваших клієнтів?

Розглянемо кілька стратегій та технологій забезпечення безпеки додатків та інформації, що не допускають отримання даних з мобільного додатка такими способами, які використовує шкідлива програма Revive.

Отримання одноразового пароля по SMS та двофакторна автентифікація
Перша вразливість виникає на етапі отримання одноразового пароля SMS. SMS-повідомлення схильні до багатьох відомих уразливостей, включаючи атаки на протокол SS7, яким здійснюється їх передача. При атаках заміни SIM-карт SMS-повідомлення можуть бути перехоплені шкідливими програмами, що знаходяться на мобільному пристрої користувача.

Через ці вразливості неможливо забезпечити конфіденційність, цілісність та справжність платіжної інформації, що призводить до недотримання вимог директиви PSD2 до динамічних посилань, що використовується для автентифікації фінансових транзакцій Банкам та іншим організаціям, на діяльність яких поширюються нормативи PSD2, рекомендується розглянути безпечніші методи доставки кодів двофакторної автентифікації для мобільних платформ, наприклад, push-повідомлення або коди безпеки, аналогічні QR-кодам.

Проактивний захист від шкідливих програм
Наступна вразливість не стосується ні самої програми, ні мережі. Розробники програм часто припускають, що мобільні операційні системи та офіційні магазини програм надають користувачам всі необхідні механізми безпеки, що гарантують, що приховані шкідливі програми не потраплять на їх пристрої. Однак, насправді мобільні платформи, особливо з операційною системою Android, не забезпечують адекватного захисту від шкідливих програм, які можуть встановити самі користувачі. Вбудовані в програму елементи безпеки також повинні гарантувати захист програми в невідомих скомпрометованих середовищах.

Щоб знизити ризик компрометації програми, деякі фінансові організації вбудовують (з використанням SDK) у свої мобільні програми антивірусний компонент, який регулярно виконує перевірку безпеки або принаймні надає користувачам вимоги та рекомендації щодо встановлення антивірусних рішень на мобільні пристрої. Основна проблема полягає в тому, що функціональні можливості мобільного антивіруса дуже обмежені. Крім того, мобільні антивірусні засоби переважно спрямовані на забезпечення реактивного захисту – виявлення відомих шкідливих програм. У разі шкідливої програми Revive, орієнтованої на певну організацію, такий підхід не забезпечує ефективного захисту. Для усунення ризиків зараження мобільних пристроїв шкідливими програмами слід звернути увагу на бік проактивного підходу – забезпечення захисту не від конкретних шкідливих програм, а від відповідних векторів атак. На практиці це означає, що програма для онлайн-банкінгу повинна мати вбудовані елементи управління безпекою, що дозволяють блокувати аномальні або потенційно шкідливі дії: знімок екрана, відображення поверх відкритих вікон, спроби запису введення та інші дії незалежно від того, ким вони ініційовані.

Вразливості у функціоналі
Мобільні операційні системи, особливо Android, мають безліч вбудованих функцій, які можуть використовувати зловмисники для виконання шкідливих дій на пристроях користувачів. Зокрема Revive використовує службу спеціальних можливостей Android. Крім того, мобільна платформа може мати недокументовані функції та вразливості, які є джерелом додаткових ризиків безпеки для програм, встановлених на пристрої. У зв’язку з цим усі мобільні пристрої, незалежно від операційної системи, слід вважати ненадійною платформою.

Програми, що обробляють конфіденційні дані, повинні мати додатковий рівень безпеки між операційною системою та самим додатком. Це дозволить забезпечити довірене середовище виконання внутрішніх компонентів програми.

Захист мобільних пристроїв від цільових та загальних загроз
Незважаючи на високу ефективність, шкідлива програма Revive не є унікальною. Зловмисники використовують відомі способи отримання даних, такі як відображення шкідливих повідомлень поверх відкритих вікон та кейлоггери, щоб отримати особисті дані користувачів, необхідні для доступу до банківських рахунків. Усунути таку загрозу дозволить розуміння принципів її роботи у поєднанні з різними способами захисту від атак: за допомогою push-повідомлень, підпису транзакцій або шилдування додатків.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення OneSpan і організації партнерських тренінгів звертайтеся, будь ласка: info.ua@oberig-it.com, +38 093 801 04 41.

Джерело: https://bit.ly/3KeJutX