6 baisios taktikos, naudojamos mobiliųjų programų atakose


Mobiliosioms platformoms kyla vis didesnis pavojus, nes nusikaltėliai ir nacionalinių valstybių veikėjai ieško naujų būdų, kaip įdiegti kenkėjiškus implantus su pažangiomis galimybėmis „iPhone“ ir „Android“ įrenginiuose.

Nors mobiliųjų telefonų atakos buvo nuolatinė problema daugelį metų, grėsmė sparčiai auga, nes į sceną patenka sudėtingesnės kenkėjiškų programų šeimos su naujomis funkcijomis.

Užpuolikai dabar aktyviai diegia kenkėjiškas programas su visomis nuotolinės prieigos galimybėmis, moduliniu dizainu ir, kai kuriais atvejais, į kirminus panašiomis savybėmis, kurios gali kelti didelę grėsmę vartotojams ir įmonėms, kuriose jie dirba. Daugelis šių kenkėjiškų programų šeimų nuolat tobulėja dėl reguliarių plėtros atnaujinimų, o kibernetiniai nusikaltėliai vis geriau įveikia oficialių programų parduotuvių peržiūros procesą. Tuo tarpu tiek JAV, tiek ES svarsto naujų antimonopolinių taisyklių todėl „šalutinis programų įkėlimas“ gali tapti vartotojo teise.

Svarbu, kad įmonės pripažintų, kad mobiliojo ryšio atakos yra pagrindinė sudėtingų grėsmės veikėjų dėmesio sritis. Šios atakos ir toliau vystysis, kai atsiras naujų įrankių ir taktikos, sukeldamos unikalių iššūkių tradiciniam įmonių saugumui.

Štai šešios mobiliųjų kenkėjiškų programų taktikos, kurioms įmonės turi pasiruošti:

1. Sukčiavimas įrenginyje
Vienas iš labiausiai susirūpinusių naujų mobiliųjų kenkėjiškų programų patobulinimų yra galimybė atlikti nesąžiningus veiksmus tiesiai iš aukos įrenginio. Ši pažangi galimybė, žinoma kaip sukčiavimas įrenginyje (ODF), buvo aptiktas naujausiuose mobiliosios bankininkystės Trojos arkliuose, ypač spalio mėn, TeaBot, Vultur ir Escobar. „Octo“ atveju kenkėjiška programa išnaudojo „Android“ paslaugą „MediaProjection“ (siekiant įjungti ekrano bendrinimą) ir „Accessibility Service“ (kad nuotoliniu būdu atliktų veiksmus įrenginyje). Ši praktinė nuotolinės prieigos funkcija taip pat buvo įjungta įdiegus VNC Viewer, kaip Escobar ir Vultur atveju.

ODF žymi reikšmingą lūžio tašką mobiliųjų atakų srityje, kurios daugiausia buvo nukreiptos į perdanga pagrįstą kredencialų vagystę ir kitų tipų duomenų išfiltravimą. Nors dauguma ODF Trojos arklių visų pirma yra orientuoti į finansines vagystes, šie moduliai gali būti pritaikyti taikyti kitokio tipo paskyras ir komunikacijos priemones, kurias naudoja įmonės, pvz., Slack, Teams ir Google Docs.

2. Telefono skambučių peradresavimas
Kitas nerimą keliantis veiksnys yra teisėtų telefono skambučių perėmimas, kuris neseniai pasirodė netikri skambučiai bankininkystės Trojos arklys.

Šios atakos metu kenkėjiška programa gali nutraukti vartotojo inicijuoto skambučio ryšį be skambinančiojo žinios ir nukreipti skambutį kitu užpuoliko valdomu numeriu. Kadangi skambučio ekrane ir toliau rodomas teisėtas telefono numeris, auka negali žinoti, kad buvo nukreipta į netikrų skambučių paslaugą. Kenkėjiška programa tai pasiekia užtikrindama skambučių tvarkymo leidimą diegiant programą.

3. Pranešimas apie tiesioginio atsakymo piktnaudžiavimą
Vasarį, FluBot šnipinėjimo programa (5.4 versija) pristatė naują galimybę piktnaudžiauti „Android“ pranešimų tiesioginio atsakymo funkcija, kuri leidžia kenkėjiškajai programai perimti ir tiesiogiai atsakyti į tiesioginius pranešimus programose, kurioms ji taikoma. Nuo to laiko ši funkcija buvo aptikta kitose mobiliosiose kenkėjiškose programose, įskaitant Medusa ir Sharkbot.

Ši unikali galimybė leidžia kenkėjiškajai programai pasirašyti nesąžiningas finansines operacijas, perimti dviejų veiksnių autentifikavimo kodus ir modifikuoti tiesioginius pranešimus. Tačiau ši funkcija taip pat gali būti naudojama kenkėjiškoms programoms kaip kirminas paskleisti aukos kontaktus, siunčiant automatinius kenkėjiškus atsakymus į socialinių programų pranešimus (pvz., WhatsApp ir Facebook Messenger).

4. Domeno generavimo algoritmas
„Sharkbot“ bankininkystės Trojos arklys taip pat išsiskiria dar viena savybe: domenų generavimo algoritmu (DGA), kurį naudoja, kad išvengtų aptikimo. Kaip ir kitos įprastos kenkėjiškos programos su DGA, mobilioji kenkėjiška programa nuolat kuria naujus domenų pavadinimus ir IP adresus savo komandų ir valdymo (C2) serveriams, todėl saugos komandoms sunku aptikti ir blokuoti kenkėjišką programą.

5. Apeiti App Store aptikimą
Programų peržiūros procesas visada buvo „katės ir pelės“ žaidimas su kenkėjiškų programų kūrėjais, tačiau verta atkreipti dėmesį į naujausią kibernetinių nusikaltėlių taktiką. Pavyzdžiui, CryptoRom nusikalstama kampanija, piktnaudžiavo „Apple“ „TestFlight“ beta versijos testavimo platforma ir žiniatinklio klipų funkcija, kad „iPhone“ naudotojams pateiktų kenkėjiškas programas, visiškai apeinant „App Store“. „Google Play“ saugos procesą aplenkė vienas nusikalstamas veikėjas, kuris sumokėjo kūrėjams, kad jie naudotų savo kenkėjišką SDK savo programose, kurios vėliau pavogdavo asmeninius duomenis iš vartotojų.

Nors kenkėjiškų programų mobiliesiems platinimui vis dažniau pasitaiko nešvarumų, mokslininkai pastaruoju metu pastebėjo, kad požeminėje šių paslaugų rinkoje, kartu su kitais platinimo veikėjais, išaugo aktyvumas. .

6. Patobulinta plėtros praktika
Nors modulinis kenkėjiškų programų dizainas nėra naujas, Android bankininkystės Trojos arklys dabar kuriami su sudėtingomis atnaujinimo galimybėmis, pavyzdžiui, neseniai atrasta kenkėjiška programa Xenomorph. „Xenomorph“ sujungia modulinį dizainą, prieinamumo variklį, infrastruktūrą ir C2 protokolą, kad būtų galima atnaujinti daug galimybių, kurios leistų jam tapti daug pažangesniu Trojos arkliu, įskaitant automatinio perdavimo sistemos (ATS) funkciją. Ateityje daugiau mobiliųjų kenkėjiškų programų šeimų apims geresnius atnaujinimo procesus, kad įgalintų patobulintas funkcijas ir visiškai naujas funkcijas pažeistuose įrenginiuose.

Kovokite sustiprindami įmonių gynybą
Siekdamos kovoti su šiomis naujomis mobiliųjų kenkėjiškų programų taktikomis, įmonės turi įsitikinti, kad jų kibernetinio saugumo programose yra tvirtos apsaugos priemonės. Tai apima mobiliųjų įrenginių valdymo sprendimus, kelių veiksnių autentifikavimą ir stiprią darbuotojų prieigos kontrolę. Kadangi mobiliųjų kenkėjiškų programų užkrėtimas paprastai prasideda socialine inžinerija, įmonės turėtų rengti saugumo supratimo mokymus ir apsvarstyti technologijas, kurios stebi komunikacijos kanalus šioms atakoms.