Сигурност

Какво представлява EventBot?

Иван Гайдаров

В края на април се появиха съобщения за нов зловреден софтуер, насочен срещу мобилното банкиране в Android, който може да заобиколи двуфакторното удостоверяване. Новият зловреден софтуер е насочен към почти 200 приложения за мобилни финансови услуги в различни географски области, включително САЩ, Италия, Великобритания, Испания, Швейцария, Франция и Германия. Но какво е новото в този щам? Колко сериозна е заплахата? Какво трябва да направят разработчиците, за да защитят себе си и потребителите си от тази и други подобни заплахи? Ето какво споделя в блога си американската компания за киберсигурност OneSpan на база консултации с експерти по мобилните приложения и анализ на наличната към момента информация за новия зловреден софтуер.

Анализ на зловредния софтуер за Android - EventBot

Първо, оказва се, че няма място за паника. Понастоящем няма данни за участие на EventBot в активни кампании. Това обаче може да се промени всеки един ден, което трябва да ни напомни, че не трябва да ставаме разсеяни в това отношение. Изследователите, които откриват EventBot, коментират, че той е в "ранните си етапи" на активно развитие. Въпреки че EventBot не е непременно по-сложен или опасен от мобилните банкови троянци от миналото, изследователите по сигурността смятат, че това е нов тип, а не обикновен клонинг или копие на някой от тях. Това от своя страна означава, че престъпниците все още виждат полза в инвестирането на време, усилия и пари в създаването на иновации в сферата на зловредния софтуер, насочен към мобилното банкиране. Фактът, че нападателите виждат стойност в това, е сигнал, че разработчиците, технологичните гиганти и мобилните оператори оставят пропуски в сигурността на своите приложения, които злонамерени лица лесно могат да използват за печалба.

Как работи Eventbot и как да се намали рискът

EventBot използва същите трикове като повечето мобилни злонамерени програми, насочени към банкови приложения, включително функции като четене на SMS съобщения, стартиране на атаки за прихващане на идентификационни данни за достъп и извършване на други злонамерени дейности като кейлогинг. Атаките за прихващане на идентификационни данни за достъп са доста често срещани в наши дни. Проучване от миналото лято установява, че 51% от злонамерените приложения за Android използват именно такива атаки. Подобни софтуери интегрират компроментиран прозорец в началото на законното приложение, за да подмамят потребителите да разкрият своите идентификационни данни или друга информация. Зловредният софтуер придобива своята най-голяма сила, когато успее да излъже потребителя да му предостави редица сериозни разрешения, което се превръща в злоупотреба с функцията за достъпност на Android.

След като получи тези разрешения, зловредният софтуер може да регистрира натискания на клавиши, за да открадне идентификационни данни и да ги изпрати на нападателя, както и да чете известия и съдържание, показвано от целевото приложение. Разработчиците могат да намалят рисковете на EventBot с няколко прости добри практики за киберсигурност:

- Да приемем, че приложението ви в някои случаи ще работи във враждебна мобилна среда като Android устройство, заразено със злонамерен софтуер. Вземете предпазни мерки за безопасно кодиране на приложението ви. Например не съхранявайте данни в споделено външно хранилище, до което всички приложения, злонамерени или не, могат да имат достъп.

- Не използвайте кодове, изпратени чрез SMS текстови съобщения, за да удостоверите потребителите. Нищо не е перфектно, но push известията са по-добър избор.

- Добавете допълнителен слой за защита към приложенията за мобилно банкиране, за да ограничите възможността злонамерен софтуер да подправи средата на изпълнение на вашето мобилно приложение.

Обобщаващи мисли върху EventBot

Въпреки че EventBot изглежда е нов щам на злонамерен софтуер, той не е непременно по-сложен от други зловредни програми, които сме виждали в миналото. Някои експерти вече се изказват, че не биха поставили EvenBot сред трите най-опасни злонамерени софтуера, които злоупотребяват с услуги за достъпност и го наричат просто "кейлогър с допълнителни разрешения". Предприемането на подходящи предпазни мерки срещу по-широката гама от заплахи вероятно ще защити вашите потребители от подобни атаки.

X