חוקרי האבטחה של ESET גילו טרויאני חדש לאנדרואיד המשתמש בטכניקה חדשנית שמנצלת לרעה את מאפייני הנגישות של מערכת ההפעלה של אנדרואיד, פוגעת באפליקציה הרשמית של PayPal ומסוגלת לעקוף את מנגנון האימות הדו-שלבי שלה.
הנוזקה, שזוהתה לראשונה בנובמבר 2018, משלבת בין יכולות שליטה מרחוק של נוזקות בנקאות שנשלטות מרחוק ובין דרך חדשנית לניצול שירותי הנגישות של אנדרואיד על מנת לפגוע במשתמשי האפליקציה של PayPal.
הנוזקה מתחזה לכלי לשיפור חיי הסוללה, והיא מופצת באמצעות חנויות אפליקציות חיצוניות.
האפליקציה המזויפת
איך הנוזקה עובדת?
לאחר שהנוזקה מופעלת, היא נסגרת מייד מבלי לבצע אף פעולה מועילה ומחביאה את האייקון שלה. מהשלב הזה והלאה ניתן לחלק את פעולותיה לשני חלקים עיקריים.
המטרה הראשונה של נוזקה זו, גניבת כסף מחשבונות ה-PayPal של קורבנותיה, דורשת הפעלה של שירות נגישות זדוני. כפי שניתן לראות בתמונה, הבקשה מוצגת למשתמש כאילו היא מגיע משירות "Enable statistics", ששמו לא מעורר הרבה חשדות
הנוזקה מבקשת להפעיל את שירות הנגישות שלה, שמוסווה בשם "Enable statistics"
אם האפליקציה הרשמית של PayPal מותקנת במכשיר, הנוזקה מציגה התראה שמבקשת מהמשתמש להפעיל אותה. לאחר שהמשתמש פותח את האפליקציה ומתחבר לחשבון שלו, שירות הנגישות הזדוני נכנס לפעולה ו"לוחץ" על הכפתורים המתאימים באפליקציה כדי לשלוח כסף לכתובת ה-PayPal של התוקף.
במהלך המחקר, האפליקציה ניסתה להעביר סכום של 1,000 אירו, אך יש לציין שהמטבע והסכום תלויים במיקום הגיאוגרפי של המשתמש. כל התהליך אורך כחמש שניות, ולמשתמש הממוצע שאינו חושד בדבר אין שום אפשרות להתערב בתהליך.
מכיוון שהנוזקה לא מסתמכת על גניבת פרטי גישה לחשבון ה-PayPal, אלא מחכה שהמשתמש יתחבר לאפליקציה הרשמית של PayPal בעצמו, היא עוקפת גם את מנגנון האימות הדו-שלבי של PayPal. משתמשים שהפעילו את מנגנון האימות הדו-שלבי רק יזדקקו לעשות צעד נוסף כדי להתחבר לאפליקציה – כמו שהיו עושים בכל מקרה – אך בסופו של דבר הם חשופים לפגיעה מהטרויאני ממש כמו אלו שלא משתמשים באימות דו-שלבי.
הסרטון הבא מראה כיצד התהליך מתבצע בפועל:
המתקפה תיכשל רק במקרה שהיתרה בחשבון ה-PayPal נמוכה מדי ואין אף כרטיס חיוב שמחובר לחשבון. שירות הנגישות הזדוני מופעל בכל פעם שאפליקציית PayPal מופעלת, מה שאומר שהמתקפה יכולה לקרות מספר פעמים.
התרענו ל-PayPal על הטכניקה הזדונית בה משתמש הטרויאני הזה ועל חשבון ה-PayPal בו משתמש התוקף כדי לקבל את הכסף הגנוב.
מסכי כיסוי
פעולה נוספת של הנוזקה משתמשת במסכי כיסוי (Overlay screens) המוצגים מעל אפליקציות לגיטימיות ספציפיות.
האפליקציה מורידה מסכי כיסוי מבוססי HTML לחמש אפליקציות – Google Play, WhatsApp, Skype, Viber ו-Gmail – אך ניתן לעדכן את הרשימה הראשונית הזאת בכל רגע נתון.
ארבע מתוך חמש מסכי הכיסוי מנסים להשיג בעורמה את פרטי כרטיס האשראי של הקורבן; מסך הכיסוי שמכוון לאפליקציית Gmail מנסה להשיג את פרטי הגישה לחשבון. החשד הוא שקיים קשר בין אופן הפעולה הזה ובין הניסיון לפגיעה בחשבון ה-PayPal, שכן PayPal שולחת התראות באימייל לאחר ביצוע כל העברה. באמצעות גישה לחשבון ה-Gmail של הקורבן, התוקפים יכולים למחוק הודעות מייל כאלה ולהישאר מתחת לרדאר למשך זמן רב יותר.
מסכי כיסוי זדוניים לאפליקציות Google Play, WhatsApp, Skype ו-Viber, שמבקשים את פרטי כרטיס האשראי
מסכי כיסוי זדוניים המנסים להשיג את פרטי הגישה לחשבון ה-Gmail
שלא כמו רוב מסכי הכיסוי שמשמשים את מרבית נוזקות הבנקאות לאנדרואיד, המסכים האלה מוצגים כמסכי נעילה - טכניקה שמשמשת גם כופרות אחרות לאנדרואיד. טכניקה זו מונעת מהקורבנות לצאת ממסך הכיסוי באמצעות לחיצה על כפתור החזרה או כפתור הבית. הדרך היחידה לעבור את מסך הכיסוי היא למלא את הטופס המזויף, אך למרבה המזל גם מילוי של פרטים אקראיים או לא-תקינים גורם למסכים האלה להעלם.
מעבר לשתי הפונקציות העיקריות שתוארו, הנוזקה יכולה גם לבצע את הפעולות הבאות, לאחר קבלת פקודה מתאימה משרת השליטה והבקרה שלה:
• ליירט ולשלוח הודעות SMS; למחוק את כל הודעות ה-SMS; לשנות את אפליקציית ברירת המחדל לקבלת ושליחת הודעות
SMS (כדי לעבור את האימות הדו-שלבי שמתבסס על SMS)
• להשיג את רשימת אנשי הקשר
• לקיים שיחות ולהעביר שיחות
• להשיג את רשימת האפליקציות המותקנות
• להתקין אפליקציה, להפעיל אפליקציה שכבר הותקנה
• להתחיל תקשורת באמצעות socket
כיצד להישאר בטוחים?
ככל הנראה, אלו שהתקינו את האפליקציה כבר נפגעו מאחת הפונקציות הזדוניות שלה.
אם באמת התקנתם את הטרויאני הזה, אנו ממליצים לבדוק העברות חשודות בחשבונות שלכם ולשקול את שינוי הסיסמה / הקוד הסודי לשירותי הבנקאות שלכם ולחשבון ה-Gmail שלכם. אם ישנה העברה לא מאושרת ב-PayPal, אפשר לדווח על הבעיה של ל-PayPal כאן.
במקרים של מכשירים שהפכו ללא-שמישים בשל מסך נעילה שמוצג ע"י הטרויאני הזה, אנו ממליצים להשתמש במצב הבטוח של אנדרואיד ולהסיר אפליקציה שנקראת "Optimization Android" תחת הגדרות > (כללי) > מנהל האפליקציות / אפליקציות.
כדי להימנע מנוזקות אנדרואיד בעתיד, מומלץ:
• להוריד אפליקציות רק מחנות האפליקציות הרשמית של Google
• לבדוק את מספר ההורדות של האפליקציה, הדירוג שלה ותוכן הביקורות שלה לפני שמורידים אפליקציה מחנות האפליקציות של
Google
• לשים לב להרשאות שאתם מעניקים לאפליקציות שאתם מתקינים
• לעדכן את מכשיר האנדרואיד ולהשתמש בפתרון אבטחה אמין למכשירים ניידים; מוצרי ESET מזהים את האיום הזה בשם
Android/Spy.Banker.AJZ