گزارش جدیدی از تیم پاسخگویی به حوادث امنیت رایانه ای سازمان نظارت مالی لهستان (CSIRT KNF) گزارش می دهد که هکرها شروع به سوء استفاده از فناوری Android WebAPK برای ترغیب مردم به نصب بدافزار روی دستگاه های خود کرده اند.
Android WebAPK فناوری زیربنایی است که برنامههای وب پیشرو یا PWA نامیده میشود. اینها ترکیبی بین برنامه های وب و برنامه های بومی هستند که دارای برخی ویژگی ها و قابلیت های هر دو هستند. برخی از توسعه دهندگان از برنامه های وب مترقی به عنوان “وب سایت های قابل نصب” یاد می کنند، زیرا می توانند روی دستگاه نصب شوند و ویژگی هایی مانند اعلان های فشار را ارائه می دهند که معمولاً بخشی از یک برنامه وب نیستند.
علاوه بر این، وقتی کاربران برنامههای وب پیشرفته را نصب میکنند، نیازی به رفتن به فروشگاه Play ندارند. گوگل آن را اینگونه توضیح می دهد: “زمانی که کاربر یک PWA را از Google Chrome نصب می کند و یک WebAPK استفاده می شود، سرور minting “minting” (بسته ها) و امضای APK را برای PWA می کند.” این فرآیند نسبتا کند است، اما پس از اتمام آن ، مرورگر در نقطه پایانی هدف، دستگاه را بدون غیرفعال کردن امنیت، بیصدا نصب میکند، زیرا یک ارائهدهنده مورد اعتماد قبلاً APK را امضا کرده است.
در این مورد خاص، عوامل تهدید ناشناس با جعل هویت بانک لهستانی PKO Bank Polski شروع به ارسال پیامک به مشتریان کردند. در پیامک، آنها می گویند که برنامه بانکی آنها باید به روز شود و پیوندی را به اشتراک می گذارند که می توانند این کار را انجام دهند. کسانی که روی پیوند کلیک می کنند به Play Store یا مخزن برنامه اندرویدی دیگر منتقل نمی شوند، بلکه به وب سایتی منتقل می شوند که در آن از فناوری WebAPK برای نصب بدافزار استفاده می شود.
پس از نصب برنامه مخرب، از کاربران خواسته می شود تا اعتبار ورود و همچنین کد احراز هویت چند عاملی (MFA) خود را تایپ کنند و هر آنچه را که برای تخلیه کامل حساب نیاز دارند در اختیار مهاجمان قرار دهد.
تحلیل: چرا مهم است؟
تروجان های بانکی یک خطر بزرگ هستند زیرا می توانند خسارت های مادی زیادی را وارد کنند. عوامل تهدید پشت این کمپین ها به ندرت از هدف قرار دادن مصرف کنندگان اجتناب می کنند و این خطر را بسیار بیشتر می کند. علاوه بر این، مهاجمان تمام تلاش خود را میکنند تا مطمئن شوند که بانک را به بهترین شکل ممکن جعل میکنند و صفحات فرود ظاهراً یکسانی ایجاد میکنند و سبک و لحن ارتباطات بانکها را تقلید میکنند.
همانطور که گفته شد، این کمپین خاص نیز خطرناک است زیرا از فناوری های جدید استفاده می کند و راه های جدیدی برای سوء استفاده باز می کند. به این ترتیب، قربانیان ممکن است غافلگیر شوند، حتی آنهایی که معمولاً مراقب امنیت هستند و از خطرات فیشینگ و مهندسی اجتماعی آگاه هستند. اگر کمپین موفقیت چشمگیری داشته باشد، این احتمال وجود دارد که دیگر بازیگران تهدید وارد این کار شوند.
برای محافظت در برابر چنین برنامههای مخرب، کاربران قبل از هر چیز باید هنگام نصب برنامههای جدید یا نصب وصلهها برای پشته نرمافزار فعلی خود مراقب باشند. بهترین اقدام این است که از نصب برنامههایی که در مخازن رسمی مانند Play Store یا Samsung Galaxy Store یافت نمیشوند، خودداری کنید. کاربران همچنین باید همه چیزهایی را که از طریق پیامک، ایمیل یا رسانه های اجتماعی دریافت می کنند، دوباره بررسی کنند. اگر برنامهای پیام متنی برای درخواست بهروزرسانی ارسال کرد، وبسایت رسمی یا صفحه فروشگاه برنامه را باز کنید و بررسی کنید که آیا بهروزرسانی موجود است یا خیر. کاربران همچنین می توانند آخرین نسخه برنامه لیست شده را پیدا کنند و می توانند اعداد را با آنچه نصب کرده اند ارجاع دهند.
در نهایت، کاربران باید Google Play Protect را فعال نگه دارند، زیرا این یک برنامه آنتی ویروس رایگان است که با اکثر تلفن های اندرویدی ارائه می شود و به اندازه کافی خوب است تا بیشتر بدافزارهای موجود امروز را پرچم گذاری کند. کاربران همیشه می توانند یک برنامه آنتی ویروس اندروید دیگر را نیز نصب کنند.
دیگران در مورد کمپین چه گفته اند؟
در نوشته خود در مورد سوء استفاده از فناوری WebAPK در جرایم سایبری، وبلاگ Cybersec همچنین میگوید کلاهبرداران برای دور زدن هرگونه تدابیر امنیتی تعیینشده توسط بانک، این حمله را با جعل هویت جفت میکنند: «علاوه بر حمله WebAPK، مجرمان سایبری همچنین از ابزارهای تخصصی جعل دستگاهها برای جعل هویت دارندگان حساب در معرض خطر و دور زدن کنترلهای ضد کلاهبرداری استفاده میکنند.» گزارش می خواند. این ابزارها که در وب تاریک به بازار عرضه می شوند، می توانند اثر انگشت دستگاه تلفن همراه و سایر نرم افزارها و پارامترهای شبکه را که توسط سیستم های ضد کلاهبرداری تجزیه و تحلیل می شوند، جعل کنند. این به عوامل تهدید اجازه می دهد تا تراکنش های غیرمجاز را از طریق تلفن های هوشمند با استفاده از بدافزارهای بانکی مانند TimpDoor و Clientor انجام دهند.
راهنمای تاماز سوی دیگر، به کاربران هشدار می دهد که ردیابی برنامه های مخرب توزیع شده از طریق WebAPK برای محققان امنیت سایبری «به ویژه سخت» است، زیرا WebAPK ها در هر دستگاهی که روی آن نصب می شوند، نام بسته و چک جمع متفاوتی دارند. علاوه بر این، در حال حاضر تنها بانک لهستانی PKO Bank Polski جعل هویت شده است. این نشریه میگوید، با این حال، با هدف قرار دادن کلاهبرداران بانکها در ایالات متحده، بریتانیا و سراسر جهان، این میتواند هر لحظه تغییر کند. از این رو، کاربران بدون توجه به اینکه چه کسی یا چگونه پیام را ارسال کرده است، باید مراقب باشند.
عمیق تر برو
اگر می خواهید درباره ایمن نگه داشتن دستگاه اندرویدی خود اطلاعات بیشتری کسب کنید، با مطالعه راهنمای عمیق ما در مورد بهترین ها شروع کنید. برنامه های آنتی ویروس اندروید در حال حاضر، و همچنین بهترین گوشی های اندروید به طور کلی. همچنین، مطمئن شوید که راهنمای ما را برای بهترین ها مطالعه کرده اید برنامه های احراز هویت، و بهترین فایروال ها امروز.
آخرین دیدگاهها