Schutz von Mobile Banking-Apps vor dem jüngsten PayPal-Android-Trojaner und dem Missbrauch der Android-Barrierefreiheit

Die Eingabehilfedienste von Android erleichtern die Interaktion mit Android-Apps oder -Geräten ohne die herkömmliche Benutzeroberfläche. Leider können Angreifer dieselben hilfreichen Funktionen missbrauchen, um Benutzer und Finanzinstitute (FIs) zu betrügen, beispielsweise im Fall eines PayPal-Android-Trojaners, der Benutzern trotz der Verwendung der Zwei-Faktor-Authentifizierung in Sekundenschnelle 1.000 US-Dollar von Benutzern stehlen kann ( 2FA). Glücklicherweise kann ein mehrschichtiger Ansatz zur Authentifizierung und Sicherheit mobiler Apps Ihre App vor solchen Angriffen schützen.

Beispiele für die Vorteile von Android-Eingabehilfediensten sind, dass Personen mit Sehbehinderung eine App oder ein Gerät mit ihrer Stimme steuern können oder dass Personen mit eingeschränkter Geschicklichkeit ein externes „Switch“ -Hardwaregerät verwenden können, um durch eine App zu navigieren, ohne streichen und klein drücken zu müssen Knöpfe mit dem Finger. Durch die Aktivierung der Android-Eingabehilfen kann eine App jedoch ohne herkömmliche Benutzereingriffe mit anderen Apps auf dem Gerät interagieren. Dies kann Auswirkungen haben, die dem typischen Benutzer nicht bekannt sind.

Ende letzten Jahres Forscher entdeckte mobile Malware auf dem neuesten Stand der Technik In der Lage, die PayPal-Konten von Android-Nutzern im Handumdrehen auszutrocknen. Dies ist eines der fortschrittlichsten Beispiele für mobile Malware, die die Welt je gesehen hat. Die normale App-Sicherheit allein kann mit diesen fortgeschritteneren Angriffen nicht mithalten, und in diesem Fall kann sie nicht einmal durch die Zwei-Faktor-Authentifizierung gestoppt werden.

Paypal Android Trojaner: Was ist passiert?

Die Malware, die in einem App Store eines Drittanbieters veröffentlicht wurde, stellte sich als Batterieoptimierungs-App namens Optimization Android dar, bot jedoch keine solche Funktionalität. Nachdem ein Benutzer die App aus einem App Store eines Drittanbieters heruntergeladen und gestartet hat, wurde die Malware sofort heruntergefahren und das Symbol nicht mehr angezeigt. Als Nächstes forderte die Malware den Benutzer auf, einen Eingabehilfedienst auf dem Gerät mit dem Namen "Statistiken aktivieren" zu aktivieren.

Von dort aus identifizierte die Malware, ob PayPal auf dem Gerät installiert war, und forderte den Benutzer in diesem Fall dringend auf, "Ihr Konto sofort zu bestätigen". Sobald der Benutzer auf die Benachrichtigung geklickt hat, wird die offizielle PayPal-App gestartet. Die Malware umging die 2FA der App, indem sie auf der Lauer lag, während sich der Benutzer anmeldete. Nachdem der Benutzer den per SMS empfangenen Sicherheitscode eingegeben hatte, stürzte die Malware ab.

Bei Missbrauch des Eingabehilfedienstes ahmt die App den Benutzer nach, indem sie automatisch auf Schaltflächen klickt und Text in die PayPal-Oberfläche eingibt, um in weniger als vier Sekunden 1.000 USD oder 1.000 EUR an das Konto des Angreifers zu senden. Da die Malware beim Übermitteln der Transaktion so schnell reagiert, hat der Benutzer wirklich keine Zeit, einzugreifen.

Die Malware enthielt auch bekanntere Trojaner-Funktionen für das Mobile Banking, z. B. die Anzeige von Overlay-Bildschirmen, auf denen nach Anmeldeinformationen oder Zahlungskartendetails gesucht wird. Malware, die Benutzeraktionen automatisiert, auf eine Echtzeit-Zahlungs-App abzielt und Benutzer in Sekundenschnelle betrügen kann, wurde bisher noch nicht wirklich gesehen. Schlimmer noch, es könnte ein Signal für das sein, was kommen wird.

Entwicklung mobiler Bedrohungen und Zahlungen in Echtzeit

EIN Artikel der New York Times Anfang dieses Jahres veröffentlicht, wurden mehrere Geschichten von Verbrauchern erzählt, die Opfer von Betrugsprogrammen wurden, bei denen Zelle als Zahlungskanal eingesetzt wurde. Betrüger waren in diesen Fällen meistens aufgrund von Social-Engineering-Techniken erfolgreich und nicht aufgrund von Sicherheitslücken, die der Zelle-Plattform inhärent sind.

Eine in dem Artikel zitierte Partnerin von PwC sagte, sie wisse von einer Bank, die eine Betrugsrate von 90% bei Zelle-Transaktionen verzeichnete. Sie fuhr fort, dass viele Banken Zelle ohne angemessenen Schutz wie 2FA oder Überwachung des Benutzerverhaltens implementieren. PwC später gab eine Korrektur heraus Daraus geht hervor, dass die 90% -Statistik unbegründet war und dass die meisten Banken strenge Authentifizierungskontrollen eingerichtet haben.

Bei dem jüngsten Angriff auf PayPal für Android hat die Zwei-Faktor-Authentifizierung den Betrug nicht gemindert. Die Malware hat es einfach umgangen, indem sie darauf gewartet hat. Nicht alle Benutzer sind sicherheitsbewusst, wie der Betrugsfall Zelle zeigt. FIs müssen in diesem Kampf gegen Cyberkriminelle mehr Hilfe und Schutz bieten, da ihre Benutzer gegen einen gewaltigen Gegner antreten.

Benutzer verdienen mehr Sicherheitsunterstützung in einer zunehmend feindlichen Bedrohungslandschaft

Benutzer haben es schon schwer genug. Das mobile Ökosystem ist ein wilder Westen mit zahlreichen Problemen, einschließlich anfälliger Geräte, die Benutzer nicht aktualisieren können, und bösartiger Apps, die in und außerhalb von offiziellen App Stores verteilt werden. Entwickler haben möglicherweise keine Zeit, um sicherzustellen, dass ihre Apps die Daten der Benutzer auf sichere Weise verarbeiten. Es ist nicht abzusehen, wie der Sicherheitsstatus des Geräts eines mobilen Benutzers aussehen könnte - insbesondere, wenn Malware weiter reift und zunehmend geheim wird.

Es gibt jedoch Hoffnung. Finanzinstitute müssen diesen Methoden mit gleicher Innovation begegnen. Jetzt ist die Zeit für Finanzinstitute gekommen, fortschrittliche Sicherheitstechnologien wie z Abschirmung der mobilen App , intelligente adaptive Authentifizierung und Verhaltensbiometrie , um Betrug im mobilen Kanal zu reduzieren und Benutzer vor sich selbst zu schützen. Das Beste daran ist, dass diese Technologien Kunden und Finanzinstitute vor Betrug schützen, ohne die Benutzererfahrung unnötig zu beeinträchtigen.

So schützen Sie sich vor Mobile Banking-Trojanern, die Android Accessibility Services missbrauchen

Der Paypal Android-Trojaner konnte die PayPal-App aufgrund einer einfachen Annahme ausnutzen. Nachdem der Benutzer authentifiziert wurde, geht die App davon aus, dass sie in einer sicheren Umgebung ausgeführt wird. Das ist offensichtlich falsch. Eine kontinuierliche Überwachung der Benutzersitzung ist erforderlich, um die Laufzeit der mobilen App kontinuierlich zu schützen.

Der PayPal-Android-Trojaner überwachte die in der App ausgeführten Prozesse. Wenn der PayPal-Prozess erkannt wurde, ging es an die Arbeit. App-Abschirmung hätte den Namen des PayPal-Prozesses intelligent unkenntlich gemacht, so dass die PayPal-App im Wesentlichen vor der Malware verborgen war. Dies hätte selbst auf einem kompromittierten Gerät proaktiv vor dem Angriff geschützt.

Sobald die Überweisung eingeleitet wurde, wäre die Tatsache, dass es sich um eine Zahlung an einen neu hinzugefügten Empfänger und zu einem relativ hohen Wert handelte, von anerkannt worden Intelligente adaptive Authentifizierung (IAA) . IAA hätte den Benutzer zur zusätzlichen Authentifizierung aufgefordert, um die Transaktion zu bestätigen und / oder zu signieren. Mit dieser Kontrolle hätte der Benutzer die Möglichkeit gehabt, die Transaktion zu stoppen.

Zum Schluss, wenn Verhaltensbiometrie In die App integriert, hätte die Technologie die automatisierten Interaktionen unabhängig von der Geschwindigkeit als nicht menschlich gekennzeichnet und die Ausführung der betrügerischen Transaktion gestoppt. Verhaltensbiometrien erfassen die Art und Weise, wie ein Benutzer sein Gerät normalerweise über einen bestimmten Zeitraum verwendet (z. B. wie er tippt, in welchem Winkel er sein Gerät normalerweise hält) und definieren ein Benutzerprofil basierend auf einem Algorithmus. Wenn die auf dem Telefon stattfindenden Interaktionen nicht mit dem Profil übereinstimmen, stoppt die App den Vorgang oder fordert zusätzliche Authentifizierungsmaßnahmen an.

Das Beste ist, dass sowohl App-Shielding als auch Verhaltensbiometrie diskrete Sicherheitsmaßnahmen sind, die das Kundenerlebnis nur dann unterbrechen, wenn etwas schief gelaufen ist. Im Wesentlichen handelt es sich dabei um unsichtbare Sicherheitsmaßnahmen, die heute von einigen zukunftsorientierten Finanzinstituten zur Verfügung gestellt und verwendet werden.

Es ist höchste Zeit, dass Finanzinstitute die immer ausgefeilteren mobilen Bedrohungen mit der ausgefeilten Sicherheit mobiler Apps in Einklang bringen. FIs benötigen Sicherheit, die Benutzer schützen und Apps in nicht vertrauenswürdigen und potenziell feindlichen Umgebungen verteidigen kann.