گزارش جدیدی از تیم پاسخگویی به حوادث امنیت رایانه ای سازمان نظارت مالی لهستان (CSIRT KNF) گزارش می دهد که هکرها شروع به سوء استفاده از فناوری Android WebAPK برای ترغیب مردم به نصب بدافزار روی دستگاه های اندروید خود کرده اند.
برای مطالعه (گوگل ردیابی دستگاه های اندرویدی را قدرتمند می کند) اینجا کلیک کنید.
اندروید WebAPK چیست؟
Android WebAPK فناوری زیربنایی است که برنامههای وب پیشرو یا PWA نامیده میشود. اینها ترکیبی بین برنامه های وب و برنامه های بومی هستند که دارای برخی ویژگی ها و قابلیت های هر دو هستند. برخی از توسعه دهندگان از برنامه های وب مترقی به عنوان (وب سایت های قابل نصب) یاد می کنند. زیرا می توانند روی دستگاه نصب شوند و ویژگی هایی مانند اعلان های ناتیفیکیشن را ارائه می دهند. که معمولاً بخشی از یک برنامه وب نیستند.
علاوه بر این، هنگامی که کاربران برنامه های وب مترقی را نصب می کنند، نیازی به مراجعه به فروشگاه Play ندارند. گوگل آن را اینگونه توضیح می دهد: (زمانی که کاربر یک PWA را از Google Chrome نصب می کند و یک WebAPK استفاده می شود، سرور minting (بسته ها) و امضای APK را برای PWA می کند. این فرآیند نسبتا کند است.
اما پس از اتمام آن ، مرورگر در نقطه پایانی هدف، دستگاه را بدون غیرفعال کردن امنیت، بیصدا نصب میکند. زیرا یک ارائهدهنده مورد اعتماد قبلاً APK را امضا کرده است.
در این مورد خاص، عوامل تهدید ناشناس با جعل هویت بانک لهستانی PKO Bank Polski شروع به ارسال پیامک به مشتریان کردند. در پیامک، آنها می گویند که برنامه بانکی آنها باید به روز شود و پیوندی را به اشتراک می گذارند که می توانند این کار را انجام دهند. کسانی که روی پیوند کلیک می کنند به فروشگاه Play یا مخزن برنامه های اندرویدی دیگر منتقل نمی شوند. بلکه به وب سایتی منتقل می شوند که در آن از فناوری WebAPK برای نصب بدافزار استفاده می شود.
پس از نصب برنامه مخرب، از کاربران خواسته می شود تا اعتبار ورود و همچنین کد احراز هویت چند عاملی (MFA) خود را تایپ کنند و هر آنچه را که برای تخلیه کامل حساب نیاز دارند در اختیار مهاجمان قرار دهد.
چرا امنیت مروگر های اندروید مهم است؟
تروجان های بانکی یک خطر بزرگ هستند. زیرا می توانند خسارت های مادی زیادی را وارد کنند. عوامل تهدید پشت این کمپین ها به ندرت از هدف قرار دادن مصرف کنندگان اجتناب می کنند و این خطر را بسیار بیشتر می کند. علاوه بر این، مهاجمان تمام تلاش خود را میکنند تا مطمئن شوند که تا جایی که میتوانند هویت بانک را جعل میکنند و صفحات فرود ظاهراً یکسانی ایجاد میکنند و سبک و لحن ارتباطات بانکها را تقلید میکنند.
همانطور که گفته شد، این کمپین خاص نیز خطرناک است. زیرا از فناوری های جدید استفاده می کند و راه های جدیدی برای سوء استفاده باز می کند. به این ترتیب، قربانیان ممکن است غافلگیر شوند. حتی آنهایی که معمولاً مراقب امنیت هستند و از خطرات فیشینگ و مهندسی اجتماعی آگاه هستند. اگر کمپین موفقیت چشمگیری داشته باشد، این احتمال وجود دارد که دیگر بازیگران تهدید وارد این کار شوند.
برای محافظت در برابر چنین برنامههای مخرب، کاربران قبل از هر چیز باید هنگام نصب برنامههای جدید یا نصب وصلهها برای پشته نرمافزار فعلی خود مراقب باشند. بهترین اقدام این است که از نصب برنامههایی که در مخازن رسمی مانند Play Store یا Samsung Galaxy Store یافت نمیشوند، خودداری کنید.
کاربران همچنین باید همه چیزهایی را که از طریق پیامک، ایمیل یا رسانه های اجتماعی دریافت می کنند، دوباره بررسی کنند. اگر برنامهای پیام متنی برای درخواست بهروزرسانی ارسال کرد، وبسایت رسمی یا صفحه فروشگاه برنامه را باز کنید و بررسی کنید. که آیا بهروزرسانی موجود است یا خیر. کاربران همچنین می توانند آخرین نسخه برنامه لیست شده را پیدا کنند و می توانند اعداد را با آنچه نصب کرده اند ارجاع دهند.
در نهایت، کاربران باید Google Play Protect را فعال نگه دارند. زیرا این یک برنامه آنتی ویروس رایگان است که با اکثر تلفن های اندرویدی ارائه می شود و به اندازه کافی خوب است تا بیشتر بدافزارهای موجود امروز را پرچم گذاری کند. کاربران همیشه می توانند یک برنامه آنتی ویروس اندروید دیگر را نیز نصب کنند.
دیگران در مورد کمپین منع استفاده از WebAPK چه گفته اند؟
وبلاگ Cybersec در نوشته خود در مورد سوء استفاده از فناوری WebAPK در جرایم سایبری، همچنین می گوید که کلاهبرداران این حمله را با جعل هویت جفت می کنند تا از هرگونه تدابیر امنیتی تعیین شده توسط بانک عبور کنند.
علاوه بر حمله WebAPK، مجرمان سایبری از جعل دستگاه های تخصصی نیز استفاده می کنند. ابزارهایی برای جعل هویت دارندگان حساب های در معرض خطر و دور زدن کنترل های ضد کلاهبرداری است.
این ابزارها که در Dark Web به بازار عرضه می شوند. می توانند اثر انگشت دستگاه تلفن همراه و سایر نرم افزارها و پارامترهای شبکه را که توسط سیستم های ضد کلاهبرداری تجزیه و تحلیل می شوند، جعل کنند. این به عوامل تهدید اجازه می دهد تا تراکنش های غیرمجاز را از طریق تلفن های هوشمند با استفاده از بدافزارهای بانکی مانند TimpDoor و Clientor انجام دهند.
از سوی دیگر، Tom’s Guide به کاربران هشدار می دهد که ردیابی برنامه های مخرب توزیع شده از طریق WebAPK برای محققان امنیت سایبری )بخصوص سخت( است. زیرا WebAPK ها در هر دستگاهی که روی آن نصب می شوند، نام بسته و چک جمع متفاوتی دارند.
علاوه بر این، در حال حاضر تنها بانک لهستانی PKO Bank Polski جعل هویت شده است. با این حال، این نشریه میگوید، با هدف قرار دادن کلاهبرداران بانکها در ایالات متحده، بریتانیا و سراسر جهان، هر لحظه ممکن است تغییر کند. از این رو، کاربران بدون توجه به اینکه چه کسی یا چگونه پیام را ارسال کرده است، باید مراقب باشند.