BLOG

Malware financeiro e seus truques: Malware Móvel

Miniatura do apoiador Shahnawaz
Apoiador Shahnawaz
Publicado em 25 de agosto de 2016

Banco moderno com dispositivos móveis

Os dispositivos móveis estão rapidamente se tornando o instrumento de escolha dos usuários digitais, impactando também o setor financeiro. A nova geração precisa que os serviços bancários sejam compatíveis com dispositivos móveis. De acordo com as descobertas do Federal Reserve, o uso de serviços bancários móveis é de 67% na faixa etária de 18 a 29 anos. A principal preocupação para não adotar dispositivos móveis para serviços bancários era a segurança. Como a mobilidade é uma força imparável, as organizações precisam entender esse vetor de risco para planejar e mitigar ameaças adequadamente. Este artigo é direcionado a algumas das vulnerabilidades mais notáveis (e exploradas) no espaço móvel.

O que é malware móvel?

Como acontece com qualquer malware, o malware móvel é um pedaço de código escrito para atacar um smartphone ou dispositivo similar. A história do malware móvel remonta pelo menos ao ano 2000, quando o primeiro malware móvel conhecido, “ TIMOFONICA ”, foi detectado por pesquisadores. Em 2016, malwares como o " Godless ", que podem causar root em até 90% dos dispositivos Android, foram encontrados à solta.

Uma rápida olhada nas análises feitas pelo Kaspersky Lab mostra que o número de cavalos de Troia para serviços bancários móveis está aumentando. Cerca de 56.194 usuários foram atacados por cavalos de Troia de serviços bancários móveis pelo menos uma vez durante o ano de 2015.

 

Tipos: Spyware e Adware, Trojans e vírus, aplicativos de phishing etc.

O malware ativo na natureza pode ser atualmente classificado como spyware/adware, trojan e vírus, aplicativos de phishing ou processos de bot. Sua única intenção é capturar informações pessoais valiosas e exfiltrá-las.

  • Spyware e adware disfarçados de aplicativos legítimos são conhecidos por coletar informações do usuário e do dispositivo, que podem ser usadas para ataques futuros.
  • Trojans sequestram dispositivos e enviam SMS premium não autorizados. Os mais comuns têm a capacidade de se redesenhar nas telas dos usuários e agir como aplicativos legítimos para roubar informações confidenciais, como credenciais bancárias e senhas de uso único fora de banda.
  • Aplicativos de phishing aproveitam aplicativos maliciosos ou refatorados para entregar conteúdo malicioso ao usuário.

Vulnerabilidades e truques comuns utilizados por malware móvel

Dispositivos móveis suportam diversas plataformas como iOS, Android, Windows, etc. Com iOS e Android dominando o mercado, vamos dar uma olhada nas vulnerabilidades relevantes que são exploradas:

  • Dispositivos com root ou jailbreak : Fazer root/jailbreak em um telefone fornece acesso de nível root ao sistema operacional móvel. Embora isso dê aos usuários a capacidade de modificar o comportamento padrão do dispositivo, isso também cria um risco extremo para os aplicativos, pois o processo quebra o modelo de segurança do dispositivo. Um dispositivo com root/jailbreak fornece um caminho perfeito para malware e aplicativos maliciosos infectarem e exfiltrarem dados.
  • Ataques do Homem no Meio: Esse vetor de ataque utiliza um terceiro que se intromete na comunicação entre o dispositivo e o servidor, farejando e alterando a carga útil. Com dispositivos móveis, os vetores de ataque são amplificados, pois as pessoas tendem a se conectar a zonas de Wi-Fi gratuitas em hotéis, cafeterias e outros locais públicos.
Foto: www.jscape.com

 

  • Sistema operacional desatualizado: Essa síndrome afeta mais usuários de Android do que usuários de iOS. Há muita fragmentação nas versões de dispositivos Android. Alguns dispositivos ainda podem estar executando uma versão antiga com vulnerabilidades conhecidas, o que os torna um terreno fértil para um ataque de malware.
  • Capturador de SMS: As técnicas modernas de autenticação adaptável utilizam autenticação fora de banda, e o SMS parece ser um dos pontos de vulnerabilidade mais populares. O malware móvel que afeta um dispositivo Android é capaz de roubar uma senha de uso único enviada ao dispositivo. A versão 4.3 e anteriores do Android permitiam que o malware proibisse o aparecimento de SMS na caixa de entrada, tornando o ataque completamente silencioso. Na versão mais recente do Android, o malware não consegue impedir que o SMS apareça na caixa de entrada, alertando os usuários sobre o SMS inesperado.
  • Roubo de Foco: O sequestro de atividade ou phishing móvel explora a vulnerabilidade no Android em que uma atividade maliciosa é iniciada em vez da esperada. Usando uma tela de aparência semelhante, o usuário é induzido a fornecer credenciais ao malware. Esse vetor de ataque é comumente explorado por malware financeiro. O vetor de ataque afeta versões do Android inferiores a 5 e, em versões posteriores, o Google mitigou os vetores de ataque.
  •  

    Foto: Captura de tela do malware svpeng

     

  • Aplicações reempacotadas: Os autores de malware obtêm aplicativos legítimos e os reempacotam com uma carga maliciosa e usam campanhas de spam e, em alguns casos, até carregam o aplicativo na Playstore/Appstore para distribuição em massa. De acordo com um estudo conduzido pela Arxan Technologies, 80% dos aplicativos populares para Android e 75% dos aplicativos para iOS foram hackeados:
  •  

    Foto: Tecnologias Arxan
    • Malware iOS sem jailbreak: Novas variantes de malware (exemplo: YiSpecter) foram detectados e são capazes de infectar o iOS e abusar de APIs privadas.
    • E muito mais... Os autores de malware estão incansavelmente inventando e criando novas técnicas para comprometer dispositivos móveis.

    A solução de proteção contra fraudes da F5 é a resposta

    A proteção contra fraudes fornece às organizações abordagens preventivas e de detecção de mitigação para aplicativos móveis modernos. Uma série de técnicas é usada para avaliar a integridade de segurança do dispositivo; essas informações são fornecidas ao aplicativo e compartilhadas com o mecanismo de risco de uma organização para mitigar e remediar ameaças. Alguns recursos importantes que ajudam a superar essas ameaças incluem:

    • Detecção de falsificação de certificado: Verificar o certificado ajuda a prevenir ataques do tipo Man in The Middle. A funcionalidade verifica a validade do certificado em relação às informações armazenadas.

    • Detecção de falsificação de DNS: Defende-se contra ataques Man in the Middle resolvendo nomes de servidores e comparando-os com informações armazenadas.

    • Detecção de Jailbreak/Rooting: Detecta dispositivos comprometidos verificando privilégios de root.

    • Detecção de malware: Procura indicadores de comprometimento e realiza análise de comportamento para encontrar malware instalado no dispositivo.

    • Detecção de SO não corrigido/inseguro: O SDK é capaz de calcular a versão do Android/iOS e fornecer as informações para um aplicativo.

    • Detecção de roubo de foco: O recurso permite que o aplicativo detecte se um aplicativo não autorizado roubou o foco do aplicativo protegido. O MobileSafe gerará um evento de transmissão para o aplicativo responder a essa ameaça.

    • Detecção de reembalagem: Para aplicativos Android, a solução verificará a assinatura para comprovar sua autenticidade. Para iOS, a verificação de reempacotamento envolve calcular hashes MD5 e validar.

    Configurando o ambiente

    A solução pode ser configurada habilitando o F5 MobileSafe em um ambiente WebSafe existente.

     

     

  • Crie/configure um perfil de solução de proteção contra fraudes usando predefinições orientadas para dispositivos móveis:
  •  

     

    Depois que o perfil for criado, os alertas estarão disponíveis no Alert Server quando um usuário acessar os URLs móveis.
    • Depois que o perfil for criado, os alertas estarão disponíveis no Alert Server quando um usuário acessar os URLs móveis. 

    Conclusão

    Dispositivos móveis oferecem aos usuários acesso fácil e conveniente a serviços online, estimulando uma adoção em massa. Os hackers estão tentando maximizar novos vetores de ataque devido ao conhecimento limitado de segurança neste domínio. A solução de proteção contra fraudes da F5 fornece à organização uma visão dos endpoints móveis e protege contra ameaças modernas e sofisticadas.

    Recursos