אפליקציה זדונית לאנדרואיד גונבת כסף מ-PayPal, גם בהפעלת אימות דו-שלבי

אפליקציה זדונית לאנדרואיד גונבת כסף מחשבונות PayPal, גם בהפעלת אימות דו-שלבי
מאת: מערכת Telecom News, 12.12.18 ,23:31
 
התגלה טרויאני חדש לאנדרואיד, שמשתמש בטכניקה חדשנית, שמנצלת לרעה את מאפייני הנגישות של מערכת ההפעלה של אנדרואיד, פוגעת באפליקציה הרשמית של PayPal ומסוגלת לעקוף את מנגנון האימות הדו-שלבי שלה. איך הנוזקה פועלת שלב אחר שלב ומה היא עושה? מה מומלץ לעשות?
 
הנוזקה, שזוהתה לראשונה ע"י חברת אבטחת המידע ESET בנובמבר 2018, משלבת בין יכולות שליטה מרחוק של נוזקות בנקאות הנשלטות מרחוק ובין דרך חדשנית לניצול שירותי הנגישות של אנדרואיד כדי לפגוע במשתמשי האפליקציה של PayPal.
 
הנוזקה מתחזה לכלי לשיפור חיי הסוללה, והיא מופצת באמצעות חנויות אפליקציות חיצוניות.
 
האפליקציה המזויפת:  
במקביל, נראו 5 אפליקציות זדוניות נוספות עם דרך פעולה דומה, שמתחזות לכלים המאפשרים לאתר משתמשי אנדרואיד אחרים. דרך פעולה מעניינת, שהן נוקטות, מנצלת את שירותי הנגישות של אנדרואיד כדי ללחוץ אוטומטית על הכפתור חזרה בכל פעם שהמשתמש נכנס לאפליקציית אנטי וירוס, שעלולה לזהות אותן או לניהול האפליקציות המאפשר להסיר אותן ידנית.
 
כיצד הנוזקה פועלת?
לאחר שהנוזקה מופעלת, היא נסגרת מייד מבלי לבצע אף פעולה מועילה ומחביאה את האייקון שלה. מהשלב הזה והלאה ניתן לחלק את פעולותיה ל-2 חלקים עיקריים.
 
שירות נגישות זדוני שפוגע ב-PayPal
המטרה הראשונה של נוזקה זו, גניבת כסף מחשבונות ה-PayPal של קורבנותיה, דורשת הפעלה של שירות נגישות זדוני. כפי שניתן לראות בתמונה. הבקשה מוצגת למשתמש כאילו היא מגיע משירות "Enable statistics", ששמו לא מעורר הרבה חשדות.
 
הנוזקה מבקשת להפעיל את שירות הנגישות שלה, שמוסווה בשם: "Enable statistics":  
אם האפליקציה הרשמית של PayPal מותקנת במכשיר, הנוזקה מציגה התראה המבקשת מהמשתמש להפעיל אותה. לאחר שהמשתמש פותח את האפליקציה ומתחבר לחשבון שלו, שירות הנגישות הזדוני נכנס לפעולה ו"לוחץ" על הכפתורים המתאימים באפליקציה כדי לשלוח כסף לכתובת ה-PayPal של התוקף.
 
במהלך המחקר, האפליקציה ניסתה להעביר סכום של 1,000 אירו, אך יש לציין, שהמטבע והסכום תלויים במיקום הגיאוגרפי של המשתמש. כל התהליך אורך כ-5 שניות, ולמשתמש הממוצע, שאינו חושד בדבר, אין שום אפשרות להתערב בתהליך.
 
מכיוון שהנוזקה לא מסתמכת על גניבת פרטי גישה לחשבון ה-PayPal, אלא מחכה, שהמשתמש יתחבר לאפליקציה הרשמית של PayPal בעצמו, היא עוקפת גם את מנגנון האימות הדו-שלבי של PayPal. משתמשים, שהפעילו את מנגנון האימות הדו-שלבי, רק יזדקקו לעשות צעד נוסף כדי להתחבר לאפליקציה - כמו שהיו עושים בכל מקרה - אך בסופו של דבר ,הם חשופים לפגיעה מהטרויאני ממש כמו אלה שלא משתמשים באימות דו-שלבי.
 
הסרטון הבא מראה כיצד התהליך מתבצע בפועל:
 
סרטון הדגמה של המתקפה
 
המתקפה תיכשל רק במקרה שהיתרה בחשבון ה-PayPal נמוכה מדי ואין אף כרטיס חיוב המחובר לחשבון. שירות הנגישות הזדוני מופעל בכל פעם שאפליקציית PayPal מופעלת, מה שאומר שהמתקפה יכולה לקרות מספר פעמים.
 
ESET התריעה ל-PayPal על הטכניקה הזדונית בה משתמש הטרויאני הזה ועל חשבון ה-PayPal בו משתמש התוקף כדי לקבל את הכסף הגנוב.
 
נוזקת בנקאות המסתמכת על מסך כיסוי
הפעולה השנייה של הנוזקה משתמשת במסכי כיסוי (Overlay screens) המוצגים מעל אפליקציות לגיטימיות ספציפיות.
 
האפליקציה מורידה מסכי כיסוי מבוססי HTML ל-5 אפליקציות - Google Play, WhatsApp, Skype, Viber ו-Gmail - אך ניתן לעדכן את הרשימה הראשונית הזאת בכל רגע נתון.
 
4 מתוך 5 מסכי הכיסוי מנסים להשיג בעורמה את פרטי כרטיס האשראי של הקורבן. מסך הכיסוי, שמכוון לאפליקציית 'Gmail מנסה להשיג את פרטי הגישה לחשבון. בחברה חושדים, שקיים קשר בין אופן הפעולה הזה ובין הניסיון לפגיעה בחשבון ה-PayPal, שכן PayPal שולחת התראות באימייל לאחר ביצוע כל העברה. באמצעות גישה לחשבון ה-Gmail של הקורבן, התוקפים יכולים למחוק הודעות מייל כאלו ולהישאר מתחת לרדאר למשך זמן רב יותר.

מסכי כיסוי זדוניים לאפליקציות Google Play, WhatsApp, Skype ו-Viber, שמבקשים את פרטי כרטיס האשראי:
מסכי כיסוי זדוניים המנסים להשיג את פרטי הגישה לחשבון ה-:Gmail
בחברה הצליחו להבחין גם במסכי כיסוי לאפליקציות בנקאות לגיטימיות, שמבקשות את פרטי הגישה לחשבונות הבנקאות המקוונים של הקורבנות.
 
מסך כיסוי זדוני לאפליקציות הבנקאות של NAB (הבנק הלאומי של אוסטרליה - National Australia Bank):  
שלא כמו רוב מסכי הכיסוי, שמשמשים את מרבית נוזקות הבנקאות לאנדרואיד, המסכים האלה מוצגים כמסכי נעילה - טכניקה המשמשת גם כופרות אחרות לאנדרואיד. טכניקה זו מונעת מהקורבנות לצאת ממסך הכיסוי באמצעות לחיצה על כפתור החזרה או כפתור הבית. הדרך היחידה לעבור את מסך הכיסוי היא למלא את הטופס המזויף, אך למרבה המזל גם מילוי של פרטים אקראיים או לא-תקינים גורם למסכים האלה להעלם.
 
לפי הניתוח של החברה, יוצרי הטרויאני הזה חיפשו דרכים נוספות לניצול המנגנון של מסכי הכיסוי. הקוד של הנוזקה כולל מחרוזות הטוענות, שהסמארטפון של הקורבן ננעל מכיוון שהוא צפה בפורנוגרפיית ילדים, ואפשר לבטל את הנעילה באמצעות שליחת מייל לכתובת מסוימת.
 
טענות כאלו הן "שאריות" מגרסאות קודמות, בהן גרמו לקורבנות להאמין, שהמכשירים שלהם ננעלו מכיוון שעברו על החוק באופן מסוים. לא ברור האם התוקפים, שעומדים מאחורי הטרויאני הזה, גם ינסו לסחוט כסף מקורבנותיהם בשיטה הזו, או שהפונקציה הזאת תשמש ככיסוי לפעולות זדוניות אחרות, שתתרחשנה ברקע.
 
מעבר ל-2 הפונקציות העיקריות, שתוארו, הנוזקה יכולה גם לבצע את הפעולות הבאות, לאחר קבלת פקודה מתאימה משרת השליטה והבקרה שלה:
 
ליירט ולשלוח הודעות SMS, למחוק את כל הודעות ה-SMS, לשנות את אפליקציית ברירת המחדל לקבלת ושליחת הודעות SMS (כדי לעבור את האימות הדו-שלבי המתבסס על SMS).
 
להשיג את רשימת אנשי הקשר.
 
לקיים שיחות ולהעביר שיחות.
 
להשיג את רשימת האפליקציות המותקנות.
 
להתקין אפליקציה, להפעיל אפליקציה שכבר הותקנה.
 
להתחיל תקשורת באמצעות .socket
 
כיצד להישאר בטוחים?
ככל הנראה, אלה שהתקינו את האפליקציה כבר נפגעו מאחת הפונקציות הזדוניות שלה.
 
במידה והתקנתם את האפליקציה הזדונית, מומלץ לבדוק העברות חשודות בחשבונות שלכם ולשקול את שינוי הסיסמה / הקוד הסודי לשירותי הבנקאות שלכם ולחשבון ה-Gmail שלכם. אם ישנה העברה לא מאושרת ב-PayPal, אפשר לדווח על הבעיה ל-PayPal - כאן.
 
במקרים של מכשירים, שהפכו ללא-שמישים בשל מסך נעילה, שמוצג ע"י הטרויאני הזה, מומלץ להשתמש במצב הבטוח של אנדרואיד ולהסיר אפליקציה הנקראת "Optimization Android" תחת הגדרות > (כללי) > מנהל האפליקציות / אפליקציות.
 
כדי להימנע מנוזקות אנדרואיד בעתיד, מומלץ:
 
להוריד אפליקציות רק מחנות האפליקציות הרשמית של Google.
 
לבדוק את מספר ההורדות של האפליקציה, הדירוג שלה ותוכן הביקורות שלה לפני שמורידים אפליקציה מחנות האפליקציות של Google.
 
לשים לב להרשאות שמעניקים לאפליקציות שמתקינים.
 
לעדכן את מכשיר האנדרואיד ולהשתמש בפתרון אבטחה אמין למכשירים ניידים.