Мы в соц.сетях
Главная » Новости » Внутри лаборатории безопасности Кракена: анализ вредоносного ПО для Android
Внутри лаборатории безопасности Кракена: анализ вредоносного ПО для Android
Опубликовано 20.03.2020

Рассмотрим общий сценарий. Криптовалютный инвестор на работе, когда он вдруг читает в новостях, что bitcoin скоро  ждет”туземун”. Он хочет докупить бтс, но не может вернуться домой в течение нескольких часов к своему ноутбуку.

Боясь упустить возможность, он ищет приложение своей биржи в маркете Google Play. Он просматривает первое всплывающее объявление и видит, что логотип выглядит нормально, пользовательский интерфейс чист плюс приложение имеет большое количество положительных оценок.

Он скачивают приложение, не обращая внимания на то, что оно запрашивает необычное количество разрешений, и начинает закупку биткоинов.

Чуть позже он возвращается домой, заходит в свой аккаунт и видит нулевые балансы по всем счетам. Наступает паника, и он задается вопросом, что же случилось. Потом он вспоминает про приложение, которое он загрузил за обедом…

Остерегайтесь поддельных приложений

В течение многих лет хакеры создавали вредоносные копии популярных приложений для кражи учетных записей, денег и данных у ничего не подозревающих лиц.

Криптовалютная индустрия ничем не отличается от других, и по мере того, как биржи выпускают приложения, помогающие клиентам вести удаленную торговлю, хакеры-мошенники пытаются заставить клиентов загружать вместо них поддельные версии.

Kraken регулярно находит, анализирует и сообщает об этих вредоносных приложениях, чтобы их удалили с рынка. Тем не менее, трудно идентифицировать каждую вредоносную программу, как только она выходит в публичное пространство, поэтому очень важно, чтобы пользователи криптовалют были лучше информированы о подобныъ сценариях.

Выделим вещи, которые должны вызывать подозрения у пользователей.

Как работают вредоносные программы

Вредоносная программа загружается в Google Play с именем неизвестного разработчика. Обратите внимание, что официальное имя разработчика Kraken в магазине Google Play – Payward, Inc.

Пример вредоносного ПО биржи криптовалют Kraken

Пример вредоносного приложения

Разработчик вредоносного ПО создает многочисленные поддельные отзывы для своего приложения.

Фейковое обсуждение приложения криптовалют Кракен

Пример фейкового обсуждения

Жертва непреднамеренно загружает поддельное приложение Кракена.

При установке вредоносная программа запрашивает чрезмерные разрешения, такие как возможность прочитать и/или отклонить все уведомления жертвы. Это особенно опасно, поскольку уведомления могут содержать коды двухфакторной авторизации.

Пример чрезмерного запроса прав на приложение от Кракен

Так выглядит запрос на чтение уведомлений от вредоносного приложения

Вредоносная программа при открытии показывает экран входа в систему. Жертвам, которые вводят свое имя пользователя, пароль или API-ключи, выдается ложное сообщение об ошибке, в котором их просят ввести свой номер телефона.

Вредоносная программа посылает учетные данные из приложения-самозванца и любые полученные уведомления в базу данных Google Firebase, которая обычно используется злоумышленниками для записи украденных данных. Базы данных, которые наблюдали специалисты Kraken, не требовали аутентификации и, следовательно, были доступны для чтения всему миру.

В итоге разработчик вредоносного ПО использует учетные данные жертвы, чтобы украсть их средства.

Что происходит дальше

О вредоносной программе сообщают и удаляют ее, но уже после того, как аккаунт клиента опустошается . Затем разработчик снова появляется с новым приложением и процесс начинается заново.

Помните: гораздо проще защитить себя в первую очередь, чем пытаться вернуть деньги.

Не доверяй, проверяй.

Kraken работает с Google, другими биржами и правоохранительными органами, чтобы соотнести эти атаки, лучше защитить от них и идентифицировать злоумышленников. Но есть еще много чего, что вы можете сделать.

Например:

Убедитесь, что вы используете официальные приложения, которые представлены на сайтах бирж.

Используйте 2-факторную аутентификацию везде. 2FA значительно снизит шансы взломщика войти в вашу учетную запись, даже если вы случайно установили вредоносное ПО.

Тщательно проверяйте приложения в мобильных магазинах. Будьте осторожны с приложениями, которые имеют небольшое количество инсталляций, используют плохое написание или формулировки в описании или отзывах, используют плохую или некорректную графику или имеют отзывы, в которых упоминается вредоносное ПО.

Остерегайтесь приложений, которые запрашивают необычные или слишком широкие разрешения (чтение уведомлений, транзакции на вывод средств и другие).

Остерегайтесь приложений, не обладающих достаточной функциональностью. Часто вредоносные приложения отображают фальшивые уведомления о выходе из строя сразу после диалога входа в систему, это должно вас сразу насторожить.

Что, если вы уже загрузили вредоносное приложение?

Без паники. Свяжитесь с биржей Kraken по адресу support@kraken.com. Специалисты по безопасности биржи будут работать с вами, чтобы защитить ваши средства.

Оригинал статьи на английском языке находится по ссылке.

  • Наша методика расчета рейтинга учитывает следующие параметры: объем торгов за 24 часа, индекс доверия и соотношение числа положительных отзывов к общему числу отзывов.