Protegendo os aplicativos bancários móveis contra o Trojan Android recente do PayPal e o abuso de acessibilidade do Android
Os serviços de acessibilidade do Android facilitam a interação das pessoas com aplicativos ou dispositivos Android sem a interface de usuário tradicional. Infelizmente, os invasores podem abusar desses mesmos recursos úteis para fraudar usuários e instituições financeiras (FIs), como no caso de um Trojan Android do PayPal capaz de roubar US $ 1.000 de usuários em questão de segundos, apesar do uso de autenticação de dois fatores pelo aplicativo ( 2FA). Felizmente, uma abordagem em camadas para autenticação e segurança de aplicativos móveis pode proteger seu aplicativo contra esses tipos de ataques.
Exemplos das vantagens oferecidas pelos serviços de acessibilidade do Android incluem permitir que alguém com baixa visão controle um aplicativo ou dispositivo com sua voz ou alguém com destreza limitada use um dispositivo de hardware externo "switch" para navegar através de um aplicativo sem precisar pressionar e pressionar pequeno botões com o dedo. A ativação dos recursos de acessibilidade do Android, no entanto, permite que um aplicativo interaja com outros aplicativos no dispositivo sem a intervenção tradicional do usuário - e pode ter implicações que o usuário comum não conhece.
No final do ano passado, pesquisadores malware móvel descoberto de ponta capaz de sangrar as contas do PayPal dos usuários do Android em um piscar de olhos. Este é um dos exemplos mais sofisticados de malware móvel que o mundo já viu. Somente a segurança de aplicativos comuns não pode competir com esses ataques mais avançados e, nesse caso, nem a autenticação de dois fatores poderia impedi-lo.
Trojan do Paypal Android: O que aconteceu?
O malware, publicado em uma loja de aplicativos de terceiros, representava um aplicativo de otimização de bateria - chamado Optimization Android -, mas não oferecia essa funcionalidade. Depois que um usuário baixou o aplicativo de uma loja de aplicativos de terceiros e o lançou, o malware foi imediatamente desligado e ocultou seu ícone. Em seguida, o malware solicitou ao usuário que habilitasse um serviço de acessibilidade no dispositivo chamado "Ativar estatísticas".
A partir daí, o malware identificou se o PayPal estava instalado no dispositivo e, em caso afirmativo, solicitou urgentemente ao usuário uma notificação para "Confirmar sua conta imediatamente". Depois que o usuário clicou na notificação, o aplicativo oficial do PayPal foi lançado. O malware contornou o 2FA do aplicativo aguardando o login do usuário. Depois que o usuário digitou o código de segurança recebido via SMS, o malware foi ativado.
Abusando do serviço de acessibilidade, o aplicativo imita o usuário clicando automaticamente nos botões e inserindo texto na interface do PayPal para enviar US $ 1.000 ou 1.000 para a conta do invasor em menos de quatro segundos. Como o malware age tão rapidamente no envio da transação, não há realmente tempo para o usuário intervir.
O malware também incluía recursos Trojan de banco móvel mais conhecidos, como apresentar aos usuários telas sobrepostas que buscam credenciais ou detalhes de cartão de pagamento. Porém, malwares que automatizam ações do usuário, têm como alvo um aplicativo de pagamentos em tempo real e são capazes de fraudar os usuários em segundos, nunca foram realmente vistos antes. Pior ainda, poderia ser um sinal do que está por vir.
WHITE PAPER
Bloquear aplicativos móveis: como reduzir fraudes, economizar dinheiro e proteger receitas
Saiba como a proteção de aplicativos com proteção de tempo de execução é essencial para o desenvolvimento de um aplicativo bancário móvel seguro e resiliente.
Baixar AgoraAmeaças móveis em evolução e pagamentos em tempo real
UMA Artigo do New York Times publicado no início deste ano contou várias histórias de consumidores vítimas de esquemas de fraude que alavancaram a Zelle como um canal de pagamento. Os fraudadores tiveram sucesso nesses casos principalmente devido a técnicas de engenharia social, e não por quaisquer deficiências de segurança inerentes à plataforma Zelle.
Uma parceira da PwC citada no artigo disse que sabia de um banco que sofria uma taxa de fraude de 90% nas transações da Zelle. Ela também afirmou que muitos bancos implementam o Zelle sem proteções adequadas, como 2FA ou monitoramento de comportamento do usuário. PwC depois emitiu uma correção declarando que a estatística de 90% era infundada e que a maioria dos bancos possui controles de autenticação sólidos.
No recente ataque contra o PayPal para Android, a autenticação de dois fatores não fez nada para atenuar a fraude. O malware contornou-o simplesmente esperando por ele. Nem todos os usuários terão conhecimento de segurança, conforme ilustrado pelo caso de fraude da Zelle. As instituições financeiras precisam fornecer mais ajuda e proteção nessa batalha contra os cibercriminosos, porque seus usuários enfrentam um oponente formidável.
Os usuários merecem mais suporte de segurança em um cenário de ameaças cada vez mais hostis
Os usuários já são suficientemente resistentes. O ecossistema móvel é um oeste selvagem com vários problemas, incluindo dispositivos vulneráveis que os usuários não conseguem atualizar e aplicativos maliciosos distribuídos dentro e fora das lojas oficiais de aplicativos. Os desenvolvedores podem ou não ter tempo para garantir que seus aplicativos manejem os dados dos usuários de maneira segura. Não há como dizer qual pode ser o status de segurança do dispositivo de um usuário móvel - especialmente se o malware continuar amadurecendo e se tornando cada vez mais clandestino.
No entanto, há esperança. As instituições financeiras precisam combater esses métodos com igual inovação. Agora é a hora das instituições financeiras adotarem tecnologias avançadas de segurança, como blindagem de aplicativos para dispositivos móveis , autenticação adaptativa inteligente e biometria comportamental , para reduzir a fraude no canal móvel e proteger os usuários de si mesmos. O melhor de tudo é que essas tecnologias protegem os clientes e as instituições financeiras contra fraudes sem sobrecarregar desnecessariamente a experiência do usuário.
Como se proteger contra cavalos de Troia de bancos móveis que abusam dos serviços de acessibilidade do Android
O Trojan Android do Paypal conseguiu explorar o aplicativo do PayPal por causa de uma simples suposição. Depois que o usuário é autenticado, o aplicativo assume que está sendo executado em um ambiente seguro. Isso é obviamente incorreto. O monitoramento contínuo da sessão do usuário é necessário para proteger continuamente o tempo de execução do aplicativo móvel.
O Trojan Android do PayPal monitorou os processos em execução no aplicativo. Se reconheceu o processo do PayPal, foi trabalhar. Blindagem de aplicativos inteligentemente tornaria irreconhecível o nome do processo do PayPal, para que o aplicativo do PayPal estivesse essencialmente oculto ao malware. Isso teria protegido proativamente contra o ataque, mesmo em um dispositivo comprometido.
Uma vez iniciada a transferência de dinheiro, o fato de ser um pagamento a um destinatário recém-adicionado e com um valor relativamente alto teria sido reconhecido por Autenticação adaptativa inteligente (IAA) . O IAA solicitaria ao usuário autenticação adicional para confirmar e / ou assinar a transação. Com esse controle, o usuário teria tido a oportunidade de interromper a transação.
Finalmente, se biometria comportamental fossem integradas ao aplicativo, a tecnologia teria sinalizado as interações automatizadas como não humanas, independentemente da velocidade, e impedido a execução da transação fraudulenta. A biometria comportamental captura a maneira como o usuário normalmente usa seu dispositivo por um período de tempo (por exemplo, como digita, o ângulo em que normalmente segura o dispositivo) e define um perfil de usuário com base em um algoritmo. Se as interações ocorridas no telefone não corresponderem ao perfil, o aplicativo interromperá a operação ou solicitará medidas de autenticação adicionais.
O melhor de tudo é que a proteção de aplicativos e a biometria comportamental são discretas proteções de segurança que não interrompem a experiência do cliente, a menos que algo dê errado. Essencialmente, essas são medidas de segurança invisíveis e estão disponíveis e em uso por alguns FIs com visão de futuro hoje.
Já é hora de as instituições financeiras combinarem as ameaças móveis cada vez mais sofisticadas com a sofisticada segurança de aplicativos móveis. Os FIs precisam de segurança capaz de proteger usuários e defender aplicativos em ambientes não confiáveis e potencialmente hostis.
