rssyoutubefg

בשבועות האחרונים רצה בוואטסאפ הודעה המזהירה מפני וירוס המתפשט בוואטסאפ באמצעות סרטון שנקרא מרטינלי, כשבנוסף מזהירה ההודעה מעדכון האפליקציה לוואטסאפ גולד. בפועל מדובר במכתב שרשרת שרק מנסה להלחיץ אתכם ומתריע על איומים ישנים או לא רלוונטיים.

רבים מכם אולי קיבלו הודעת אזהרה בוואטסאפ מפני סרטון בשם מרטינלי שיופץ "מחר" ויפרוץ לכם לטלפון, גם אני קיבלתי את ההודעה מכמה מקורות ואפילו מבני משפחה מודאגים. אני מסכים שזה יכול להלחיץ כי זה נכון שקיימים וירוסים ונוזקות שיכולים להיות מופצים באמצעות הוואטסאפ ואני בעצמי פועל להעלות את המודעות לחשוב פעמיים כאשר מקליקים על קישור או על סרטון שנשלח אלינו.  אך במקרה הזה מדובר במחזור של מכתב שרשרת שהופץ כבר לפני שנתיים ועושה קאמבק. 

נוסח ההודעה שקיבלתי: "היום דיברו ברדיו על הווצאפ גולד וזה נכון. יש סרטון שיופץ מחר בוואטסאפ וקוראים לו מרטינלי אל תפתחו אותו, זה פורץ לכם לטלפון ושום דבר שתעשו לא יתקן את זה. תפיצו את המסר אם אתם מכירים מישהו. אם אתם מקבלים הודעה לעדכן את הוואטסאפ לוואטסאפ גולד אל תפתחו את זה!! כרגע הודיעו שהווירוס הוא חמור. העבירו לכולם."

martinelli whatsapp gold

במקרה הזה מדובר במכתב שרשרת שהופץ לראשונה כבר לפני שנתיים ותורגם לשפות שונות. במקביל להתעדכנות של מכתבי השרשרת במעבר לאפליקציות מסרים ורשתות חברתיות, אנחנו רואים גם שימוש בנושאים שמבוססים על התראות ומקרים אמיתיים על מנת לשוות למכתב אמינות.

במקרה הנוכחי יש שילוב של מקרה אמיתי שכבר איננו רלוונטי ומכתב שרשרת ישן אחר.

וואטסאפ גולד הייתה תרמית שהופצה בהודעות בוואטסאפ, שהבטיחה שיחות ווידאו ואימוג'ים ייחודיים למי שיתקין את 'הגרסה המשודרגת' של וואטסאפ, כאשר בפועל מדובר היה באפליקציה זדונית. ואכן במידה ותקבלו הודעת וואטסאפ שמבקשת מכם ל"שדרג" לוואטסאפ גולד באמצעות קישור או הורדת אפליקציה - אל תעשו זאת. 

מרטינלי לעומת זאת היה כביכול שם של סרטון שהופץ לראשונה בספרד בשנה שעברה, ועליו נשלח מכתב שרשרת שהתריע על וירוס ש'מדביק את המכשיר תוך 10 שניות'. המכתב התגלגל מספרד גם למדינות נוספות. בפועל לא ידוע על נוזקה כזו שפגעה במשתמשים וייתכן שזו אגדה אורבנית.

spanish hoax

אני ממליץ שלא להתייחס להודעה או להעביר אותה הלאה, כאשר מקבלים הודעת אזהרה בסגנון הזה מומלץ להעתיק ולחפש אותה בגוגל כדי להבין מה המקור שלה והאם יש בסיס לתוכן שלה.

אז בפעם הבאה שאתם מקבלים הודעה בסגנון הזה, חיפוש קצר בגוגל של נוסח ההודעה יכול לחשוף מה עומד מאחוריה ולהסיר דאגה מליבכם, בנוסף תוכלו להרגיע את חבריכם שהפיצו את ההודעה. רצוי גם לבקש ממי שקיבלתם את ההודעה שלא להפיץ אותה במידה ואכן אין לה אחיזה במציאות.

חוקרי אבטחת המידע של ESET גילו אפליקציות המציגות את עצמן כתוכנות אבטחה ב-Google Play. האפליקציות צברו 6 מיליון הורדות במצטבר ובמקום לספק אבטחה, הן סיפקו רק פרסומות לא-רצויות ואבטחה מדומה חסרת השפעה.

על פי AV-Comparatives, ארגון בדיקה עצמאי, ישנם הבדלים משמעותיים ברמת האבטחה הניתנת ע"י פתרונות אבטחה ניידים שונים. עם זאת, גם הגרועים ביותר מבניהם טובים בהרבה מאפליקציות שנויות במחלוקת שמתחזות לאפליקציות אבטחה כדי להציג פרסומות למשתמשים. 35 אפליקציות כאלה התגלו בזמן האחרון בחנות האפליקציות הרשמית של אנדרואיד, Google Play.

האפליקציות האלה הצליחו להישאר מתחת לרדאר במשך כמה שנים בזמן שהמדדים של Google Play מראים שסך ההורדות של כל האפליקציות מגיע לפחות לשש מיליון. עם זאת, לא בטוח שכולן היו התקנות אמיתיות: רבים משתמשים בבוטים שמורידים את התוכנה ב-XXX פייק ולאחר מכן "כותבים" ביקורות טובות ו"מדרגים" את האפליקציה בדירוג גבוה.

כל 35 האפליקציות סומנו ע"י ESET והוסרו מחנות האפליקציות לאחר מכן.

mobile security fake app 1

35 אפליקציות האבטחה המזויפות ב-Google Play

נוסף על כך שהאפליקציות מטרידות את הקורבנות שלהן עם פרסומות, עצם זה שהן מסוות את עצמן כתוכנות אבטחה מביא להשפעות לוואי חמורות נוספות. במקרים רבים, תוך כדי חיקוי פונקציות האבטחה הבסיסיות – למעשה, כולן מתפקדות כתוכנות פרימיטיביות לבדיקת וירוסים המתבססות על כמה חוקים מוּבְנים ופשוטים – הן מזהות אפליקציות לגיטימיות כנוזקות. לסיום, הן יוצרות תחושות ביטחון מזויפת אצל המשתמשים, שעשויה לחשוף אותם לסיכונים אמיתיים מצד נוזקות שלא יתגלו כנוזקות.

הניתוח שלנו הראה שמבין 35 האפליקציות האלה, רק למעט מהן יש תכונות ייחודיות: אחת מהאפליקציות היא לא בדיוק חינמית, והיא מציעה שדרוג בתשלום; אחת מהאפליקציות אימצה מנהל נעילת תוכנות פרימיטיבי וקל לעקיפה; תוכנה אחרת סימנה את שאר האפליקציות מהקבוצה הנ"ל כמסוכנות; ולסיום, אחת מהאפליקציות משתמשת בסימני המותג של ESET.

פתרון אבטחה אמין למובייל 

באופן כללי, להתקין פתרון אבטחה על מכשיר אנדרואיד זה רעיון מצוין. עם זאת, לא כל האפליקציות שכוללות מונחים כמו "אנטי-וירוס" או "אבטחה" בשמן עושות את מה שהן מבטיחות לעשות. לפני שאתם מתקינים פתרון אבטחה, חשבו פעמיים: האם אפשר באמת להסתמך על הכלי הזה?

35 אפליקציות האבטחה המזויפות שתוארו במאמר זה הן לא נוזקות כופר או נוזקות "רציניות". הנזק היחידי שהן עושות הוא הצגת פרסומות מרגיזות, סימון אפליקציות לגיטימיות כנוזקות ומתן תחושת ביטחון מזויפת. עם זאת, מיליוני המשתמשים הלא-מודעים שהורידו את האפליקציות האלה יכלו גם להוריד נוזקות אמיתיות שמסתירות את עצמן באותו האופן.

במקום להשתמש באפליקציות מחשידות עם אייקון ושם בולט ועם הבטחות לא-מציאותיות ללא כיסוי, חפשו פתרון אבטחה אמין. אנחנו כמובן ממליצים על ESET Mobile Security.

למחקר המלא של ESET לחצו כאן

משתמשי אנדרואיד? מכירים את זה שפתאום קופצת לכם פרסומת בטלפון באמצע השיחה, בשיטוט בפייסבוק או סתם שהטלפון מונח על השולחן? לא מדובר בתופעה חדשה ומסתבר שהרבה ישראלים חווים לאחרונה פרסומות שקופצות על המסך מבלי שאף אפליקציה תהיה פתוחה במכשיר.

אפליקציות בעיתיות ואפילו זדוניות יכולות לבצע כל מיני פעולות לא רצויות על המכשיר שלנו, אחד מהדברים המעצבנים שהן עושות זה להקפיץ לנו על המסך פרסומות באופן אקראי במהלך השימוש בסמארטפון, אפילו כשהאפליקציה עצמה לא נמצאת בשימוש. וכן, זה מטריד, מרגיז וגם מעצבן. 

אם קיימת אצלכם התופעה הזאת זה כנראה כי התקנתם לאחרונה אפליקציה שגורמת לכך.

אפליקציות אלו מכונות Adware ופעמים רבות מדובר באפליקציות "רשמיות" שהורדנו מגוגל פליי כי היה לנו צורך בהן. למשל אפליקציית עריכת תמונות, אפליקציית פתיחת קבצי PDF, הקלטת שיחות ונגן mp3. כדי להרוויח יותר, המפתחים שלהן מוסיפים לפעמים תכונות בעייתיות, כמו מודעות שקופצות על המסך ו"משתלטות" על המכשיר - גם כשהאפליקציה לא בשימוש.

האם זה מזיק?

יכול להיות שזו אפליקציה שרק מציגה פרסומות וכך בעצם מי שהעלה אותה לחנות מתפרנס ויכול להיות שהיא גונבת ברקע מידע או שהיא מורידה אפליקציות נוספות, שעלולות להיות זדוניות.

איך נדע? האם יש אפליקציות ספציפיות שגורמות לכך?

האפליקציות הללו כל הזמן משתנות, חברות אבטחת מידע כמונו בשיתוף פעולה עם גוגל מזהות את אותן אפליקציות ומתריעות בפני גוגל, כך אותן אפליקציות מוסרות מהחנות הרשמית ואז עברייני הרשת מעלים מחדש אפליקציות אחרות בשמות שונים. הרבה פעמים בשינויים מאוד קלים של השם ועם נראות זהה.

כאשר באים להוריד אפליקציה כיצד נדע אם היא הולכת לדחוף לי פרסומות למכשיר?

אל תתקינו אפליקציות לא מוכרות ממקורות חיצוניים. לפני שאתם מורידים אפליקציה מגוגל פליי, העיפו מבט בתגובות של המשתמשים, ובדקו אם לא מתלוננים שם על תופעות בעייתיות כמו החדרת מודעות. לרוב בהרשאות שאנחנו נותנים אז מצוין שהאפליקציה מציגה פרסומות, אבל על פי התנאים של גוגל הן אמורות להיות מוצגות רק בתוך האפליקציה בזמן השימש בה בלבד.

בגרסאות עדכניות של אנדרואיד האפליקציה תציג בפניכם הודעה כדי לאפשר לה לגשת להרשאות הדרושות לה. אל תתנו לאפליקציות הרשאות שאין להן קשר לפעולה שהאפליקציה אמורה לבצע. לדוגמא, אם התקנתי אפליקציה של פנס, אין סיבה שהיא תדרוש גישה לאנשי הקשר או לשליחת אסמסים.

איך נפטרים מהפרסומות שקופצות על המסך?

הסירו אפליקציות חשודות

הקפצת פרסומות נגרמת על ידי אפליקציה בעייתית כלשהיא שכנראה הורדתם. לכן, צריך לאתר אותה ולהסיר אותה. היכנסו להגדרות ואז ל"יישומים". אתרו אפליקציות חשודות שהתקנתם לאחרונה, והסירו אותן בזו אחר זו.

התקינו כלי/אפליקציית אבטחה המסירה אפליקציות זדוניות

מומלץ להתקין על מכשיר האנדרואיד שלכם אפליקציה לניקוי אפליקציות זדוניות (Malware). אנחנו ממליצים כמובן על ESET Mobile Security – האפליקציה היא חינמית וניתן לשדרג לגרסה המלאה בתשלום. המודל החינמי לגמרי מספיק על מנת להסיר אפליקציות זדוניות. האפליקציה יודעת לזהות אפליקציות זדוניות וגם אפליקציות שנמצאות בתחום באפור כמו אפליקציות שדוחפות לנו פרסומות. בנוסף ישנו פיצ'ר "ביקורת אפליקציות" המאפשר לראות את האפליקציות האחרונות שהותקנו על המכשיר ולהבין את מקור הפרסומות.

android pop ads

דוגמא של התראה על אפליקציה חדשה שהותקנה וקיבלה הרשאות למעקב אחר מיקום

המפלט האחרון: אפסו את המכשיר  (factory reset)

האפשרות האחרונה ביותר היא איפוס המכשיר כמובן שזה ממש המוצא האחרון ואנחנו הכי פחות ממליצים על זה רק אם אין ברירה. איפוס המכשיר בעצם יחזיר אותו למצב שבו הוא הגיע מהמפעל, ואמור להסיר את כל הווירוסים והתוכנות המזיקות שקיימות עליו. כמובן, זה ימחק גם את כל המידע שלכם, התמונות, אנשי הקשר, ההודעות, האפליקציות ובעצם הכל – אז מומלץ לוודא קודם שהכל מגובה ושמור. איך מאפסים את הגדרות היצרן – בכל מכשיר אנדרואיד זה שונה, חיפוש מהיר בגוגל של סוג המכשיר שלכם יסייע לכם למצוא כיצד לאפס את המכשיר.

נראה כי הרמאים בחנות האפליקציות Google Play מצאו דרך נוספת לגרום לאפליקציות שלהם להיראות יותר אמינות למשתמשים – כלומר, לפחות במבט ראשון.

הטריק הזה מנצל את זה שחוץ מסמל האפליקציה וּשְמה, יש עוד אלמנט שהמשתמשים רואים כשהם משוטטים בחנות האפליקציות – את שם המפתח, שנמצא ממש מתחת לשם האפליקציה. ומכיוון ששמות מפתחים עלומים לא עוזרים בשום אופן להעלאת הפופולריות של האפליקציה, מפתחי אפליקציות מסוימים הגדירו את שם המפתח כמספר רב של הורדות כדי להיראות כמו מפתחים ידועים עם בסיסי משתמשים גדולים.

חברת אבטחת המידע ESET זיהתה מאות אפליקציות המשתמשות בטריקים דומים כדי להערים על משתמשים. האפליקציות שנותחנו הטעו את המשתמשים בנוגע לפונקציונליות שלהם או שלא היה להן שימוש כלל, ורובן מציגות פרסומות רבות.

fake popularity

אפליקציות שהועלו לחנות האפליקציות Google Play תחת שם המפתח "בין 1,000,000,000 ל-5,000,000,000 התקנות"

fake popularity 2

אפליקציות שהועלו לחנות האפליקציות Google Play תחת שם המפתח "100 מיליון הורדות"

החופש להגדיר כל מספר כשם המפתח נתן השראה לכמה שאיפות מופלגות במיוחד – לדוגמה, מפתח משחקים מסוים רצה לגרום למשתמשים להאמין שהמשחק שלו הותקן יותר מחמישה מיליארד פעמים. (הערה: האפליקציות שמספר ההורדות שלהן הוא הגבוה ביותר נכנסות לקטגוריה של "מיליארד+" בזמן כתיבת המאמר; בקטגוריה הזו נכללות אפליקציות כמו Google Play עצמה, ג'ימייל, פייסבוק, וואטסאפ, סקייפ וכו')

fake popularity 3

אפליקציות שהועלו לחנות האפליקציות Google Play תחת שם המפתח "5,000,000,000+"

במקרה מסוים, ראינו מפתח שבמשך הזמן שינה את שמו ממספר התקנות מזויף לשם אמיתי, מה שעלול להצביע על כך שהטריק משמש כאמצעי זמני להגברת הפופולריות של אפליקציות חדשות.

fake popularity 4

מפתח שמשתמש תחילה בשם "1,000,000,000" ושינה לאחר מכן את השם ל-"DIVID APPS"

מלבד השימוש במספר התקנות מזויף כדי לגרום למשתמשים להוריד את האפליקציות שלהם, מפתחים מסוימים השתמשו גם בביטויים המצביעים על לגיטימיות, למשל "אפליקציות חוקיות", "אפליקציות מאושרות" או "אפליקציה ממפתחים בטוחים". חלק שילבו גם סימן של וי, הדומה לסימן המשמש לסימון חשבונות "מאושרים" של ידוענים ושל מותגים במגוון אתרי רשתות חברתיות. הסימן הזה מוכלל בשמות ובסימני האפליקציה בדרכים שונות, וכן גם בשמות המפתחים. מכיוון ש-Google Play לא מציעה שירות של אישור חשבון מפתח, יש להתייחס לכל אפליקציה הנושאת תג כזה כאפליקציה חשודה.

fake popularity 5

מפתחים משתמשים בסימני "אישור" כדי לגרום לאפליקציות להיראות לגיטימיות יותר

כיצד להתגונן?

הטריקים שמתוארים במאמר הזה הם דרכים פשוטות אך אפקטיביות להונאת משתמשים, במיוחד כאלה המורידים אפליקציות על בסיס הפופולריות שלהן. למרות שאף אחת מהאפליקציות האלה לא הייתה זדונית באופן מובהק, יוצרי נוזקות יוכלו לנצל את הטכניקות האלה בקלות רבה. למרבה המזל, הטריקים האלה קלים לזיהוי, אם רק תדעו במה להתמקד:

  • התייחסו רק למספר ההתקנות שמופיעה בדף האפליקציה בחנות Google Play, מכיוון שזהו המספר הרשמי והנכון. אפשר לראות אותו בחלק "מידע נוסף" בתחתית הדף.
  • זכרו שבחנות Google Play אין תווית "מאושר" המצביעה על הלגיטימיות של אפליקציות. כן קיימת קטגוריה הנקראת "בחירת העורכים", המסומנת בתווית "בחירת העורכים" בפינה הימנית העליונה של דף האפליקציה בחנות.
  • קראו את ביקורות הגולשים לפני הורדת כל אפליקציה.
  • אם לאפליקציה יש מספר קטן של התקנות אמיתיות ו/או האפליקציה שוחררה רק לפני כמה ימים, תנו למישהו אחר להיות עכבר המעבדה של הניסוי הזה, לא משנה כמה האפליקציה מושכת.

באג חדש שהתגלה במערכת ההפעלה iOS למובייל של אפל, מאפשר לכל אחד להשבית את האייפון או האייפד שלכם רק באמצעות שליחת אימוג'י.

כוכב היוטיוב EverythingApplePro פרסם סרטון המדגים כיצד שליחה של רצף תווים יכולה להקפיא באופן זמני מכשירי אייפון, כך כל אחד יכול לשלוח לחבריו ולהטריל אותם.

 ניתן לצפות בהדגמה בסרטון הבא:

באמצעות הודעה טקסט אחת המכילה – אימוג'י של דגל לבן, הספרה 0 ואימוג'י של קשת בענן, ניתן להשבית את מכשירי אפל. הרצף הפשוט הזה מבלבל את מכשירי iOS 10 (הצירוף של דגל וקשת הוא סמל הגאווה להזכירכם). ברגע שההודעה מתקבלת, המכשיר מנסה לקבל את האימוג'ים אך נכשל, אפליקציית ההודעות קורסת ובסופו של דבר גורמת לאתחול מחדש. הנמענים אפילו לא צריכים לפתוח או לקרוא את ההודעה.

עוד שיטה "להקריס" את מכשירי אפל הניידים, כוללת גם היא את הרצף שהצגנו (דגל לבן, 0, קשת בענן), אבל באופן ששומרים אותם כאיש קשר ושולחים אותו כ- iMessage באמצעות תכונת השיתוף של iCloud.

מדובר כבר במקרה שישי בשנים האחרונות שמתגלה פירצה באייפון שניתן לנצל באמצעות שליחת הודעת MMS. דווקא בגלל שמשתמשי אייפון ואפל הם יחסית מוגנים מנוזקות ופרצות, התפיסה המוטעית של ביטחון עלולה לחשוף אותם להתקפות. חשוב לזכור שלא קיימים מכשירים או מערכות הפעלה שהם חסינים לחלוטין לפריצה, ולכן מומלץ לבצע עדכוני אבטחה ברגע שהם משוחררים.

זוהי לא פעם ראשונה שמפרסם היוטיובר כיצד למוטט מכשירי iOS. יש לו סרטונים רבים המדגימים טכניקות שונות.

אם רציתים סיבה נוספת מדוע לא להוריד אפליקציית פורנו, הנה לכם אחת- אפליקציית Pornhub מזויפת שותלת תוכנת כופר במכשירי האנדרואיד.

זה קצת אירוני שאפליקציית פורנו מדביקה סמארטפונים בוירוס, ונועלת את הסמארטפונים כ"עונש" למי שמחפש את התוכן הלא חוקי. כחלק מדו"ח שהוציאה בימים האחרונים חברת אבטחת המידע ESET, דווח על אפליקציה המתחזה לאפליקציה של אתר הפורנו הפופולרי Pornhub, נועלת את המכשיר ודורשת כופר על מנת לשחררו.

בגלל שחנות ה- Google Play אינה מאפשרת ל- Pornhubאפליקציה רשמית בחנות (אינה מאפשרת כלל להפיץ תכנים פורנוגרפיים בפלטפרומה שלה), משתמשים מחפשים את האפליקציות הללו במקומות אחרים ומורידים אפליקציות שאולי נראות כמו מה שהם חושקים בו אבל למעשה הן הרבה יותר מסוכנות מזה. התוצאה היא שהמשתמשים מוצאים עצמם מחפשים את חנות התיקון הקרובה לביתם.

כאשר אתם מורידים את האפליקציות האלו, הן מתריעות בפניכם שהן ראשית סורקות את הטלפון שלכם כדי לאתר וירוסים לפני הצגת תוכן וידאו לא חוקי. אבל במקום לסרוק את המכשיר היא בעצם מתקינה נוזקה. ברגע שהנוזקה נשתלה בסמארטפון היא מתקינה תוכנת כופר הנועלת את המכשיר ודורשת 100$ בביטקוין על מנת לשחרר אותו.

pornhup 1pornhup 2

ישנן מספר הנחיות כיצד להימנע מסוג זה של תוכנות זדוניות והבאנו לכם כמה טיפים כיצד להיפטר מנוזקות אלו באם כבר נפלתם קורבן. ראשית כדי למנוע מקרים כאלו התקינו על מכשירכם אפליקציית אבטחה, שנית תמיד תדאגו שמכשיר שלכם מגובה ושיש לכם גישה לנתונים הנמצאים עליו גם אם אין ברשותכם את המכשיר. אם נתקלתם בנעילת מסך כמו במקרה הזה, העבירו את המכשיר ל"מצב בטוח", אפליקציות צד שלישי לא יוכלו לפעול ותוכלו להסיר את האפליקציה הזדונית בקלות. במידה ובעת התקנת האפליקציה נדרשו הרשאות מנהל, ראשית הסירו את ההרשאות מתפריט ההגדרות ורק לאחר מכן תוכלו להסיר את האפליקציה. אופציה נוספת היא לשחרר את הנעילה באמצעות כלי ניהול למובייל (MDM). במידה ולא נותרה ברירה אפשר לאפס את הגדרות היצרן, פעולה שתמחק את כל הנתונים על המכשיר והיא פחות סימפטית ולכן רק המוצא האחרון.

לקבלת מידע נוסף על תוכנות הכופר לסמארטפונים ומה אפשר לעשות בקשר לזה, אתם יכולים לקרוא את הדו"ח המלא של ESET.

חוקרי ESET איתרו לראשונה תוכנת כופר לאנדרואיד המנצלת את שירותי הנגישות של מערכת ההפעלה של אנדרואיד. חוץ מלהצפין את הקבצים השמורים במכשיר הנוזקה נועלת את מכשיר הקורבן.

בתחילת השנה דיווחנו לכם על עליה של 50% במספר הזיהויים של נוזקות הכופר לאנדרואיד במהלך שנת 2016. השימוש הגובר בסמארטפון הופך אותו למקום אחסון לנתונים יקרי ערך והמידע הרגיש שנאגר במכשירים הופך את מתקפות הכופר לאטרקטיביות יותר עבור פושעי הסייבר. בהתאם ניתן לראות את ההתפתחות של נוזקות הכופר בתחום המובייל.

הנוזקה החדשה המכונה DoubleLocker, מבוססת על טרויאני לגניבת פרטי בנק ואשראי ומנצלת לרעה את שירותי הנגישות של מערכת ההפעלה אנדרואיד. עם זאת, ל-DoubleLocker אין את הפונקציות הקשורות לגניבת אישורי הבנקאות של המשתמשים ומחיקת את החשבונות שלהם. במקום זאת, יש לה שני כלים רבי עוצמה אחרים לסחיטת כסף מהקורבנות שלה.

DoubleLocker יכולה לשנות את סיסמת הנעילה ובכך למנוע גישה למכשיר. בנוסף באפשרותה להצפין את הקבצים והתיקיות הנמצאים על מכשיר האנדרואיד – השילוב הקטלני הזה מופיע לראשונה במערכת ההפעלה של אנדרואיד.

"הודות לשורשים הטרויאנים שלה, DoubleLocker יכולה בהחלט בעתיד להפוך למה שאנחנו קוראים לו 'כופר-בנקאי'. נוזקה התוקפת בשני שלבים, ראשית גונבת את פרטי הכניסה לחשבונות הבנק או ה-PayPal ולאחר מכן נועלת את המכשיר ומצפינה את הנתונים על מנת לדרוש כופר. למעשה, כבר איתרנו גרסת מבחן של נוזקה מסוג זה כבר במאי 2017" אומר לוקאס סטפנקו, חוקר הנוזקות שזיהה את תוכנת הכופר.

כיצד היא מופצת?

DoubleLocker מופצת בדומה לטרויאני לגניבת פרטי בנק ואשראי עליו היא מבוססת. בהתקפה מגיע הקורבן לאתר זדוני או אתר שהודבק, כאשר הוא מתבקש להתקין תוסף מזויף של Adobe Flash Player על מנת לצפות בתוכן שבאתר (יכול להיות סרטון שנשלח אליו לינק או אתר סטרימינג).

לאחר התקנת התוסף, הקורבן מתבקש לתת הרשאות מנהל עבור שירות מתחזה שנקרא Google Play Service. ברגע שהתוסף הזדוני מקבל את הרשאות מנהל עבור השירות שלו, הוא מגדיר את עצמו כ Launcher של המכשיר. הגדרה של Launcher באנדרואיד משמעותה האפליקציה שמנהלת את העיצוב של הממשק ושל דפי הבית במכשיר. המשמעות היא שבכל פעם שהמשתמש לוחץ על הכפתור "בית" במכשיר (בדרך כלל הכפתור האמצעי במרבית מכשירי האנדרואיד), מופעל שוב התוסף הזדוני שמפעיל גם את נעילת המכשיר.

נועלת גם את המכשיר וגם את הנתונים

ברגע שהנוזקה משתלטת על המכשיר היא מבצעת שתי נעילות שונות של המידע, סיבה כפולה לקורבנות לשלם את הכופר.

ראשית, היא משנה את קוד הנעילה של המכשיר, וחוסמת את שימוש הקורבן במכשיר. קוד הנעילה החדש מוגדר כערך אקראי שאינו מאוחסן במכשיר ולא נשלח לשום מקום, ולכן אין אפשרות, לא לקורבן ולא למומחה אבטחה לשחזר את הקוד. לאחר תשלום כופר, התוקף יכול מרחוק לאפס את קוד הנעילה ולפתוח את המכשיר.

שנית, DoubleLocker מצפינה את כל הקבצים מספריית האחסון הראשית של המכשיר בצירוף סיומת הקובץ "Cryeye.".
תשלום הכופר המבוקש על מנת לשחרר את המכשיר והקבצים עומד על 0.0130 ביטקוין, שהם כיום כ-72 דולר והמסר מדגיש כי הוא חייב להיות משולם בתוך 24 שעות. אם הכופר לא ישולם, הנתונים יישארו מוצפנים והמכשיר יישאר נעול.

doublelocker 1

כך נראים הקבצים המוצפנים במכשיר הנגוע ב- DoubleLocker

doublelocker 2

הודעת דרישת הכופר במכשיר נגוע ב- DoubleLocker

איך נפטרים מהנוזקה?

בדרישת הכופר, התוקפים מזהירים את הקורבן מלהסיר או לחסום את הנוזקה: "ללא התוכנה על המכשיר לעולם לא תצליח לגשת לקבצים שלך". כדי למנוע הסרה לא רצויה של התוכנה, התוקפים ממליצים גם להשבית את תוכנת האנטי-וירוס של המשתמש.

"בכל נושא מומלץ להתעלם מההצעות של התוקפים" מסביר סטפנקו. "משתמשים שמותקנת על מכשירם תוכנת אבטחה אמינה מוגנים מ-DoubleLocker".

עבור מרבית המשתמשים, שאינם פורצים את המכשיר או משתמשים בכלי פיתוח מיוחדים, במידה ונדבקתם בנוזקה, הדרך היחידה לשחזור הגישה למכשיר היא באמצעות איפוס הגדרות היצרן. באשר לתיקיות והקבצים המוצפנים, נכון לעכשיו לא ניתן לשחרר אותם.

לכן חשוב לוודא שהמידע שנשמר על המכשיר מגובה לענן, ובמיוחד אנשי הקשר והתמונות שלא תמיד מסונכרנים אוטומטית לענן. כמובן שחשוב גם להתקין תוכנת אבטחה יעילה ומוכרת להגנה על המכשיר.

אפליקציית האבטחה ESET Mobile Security מספקת הגנה מפני DoubleLocker. 

משתמשי אנדרואיד נחשפו לאפליקציה זדונית המתחזה ל Adobe Flash Player ומאפשרת החדרה של תוכנות זדוניות.

האפליקציה התגלתה ע"י חוקרי ESET ומזוהה בשם Android/TrojanDownloader.Agent.JI. אותו סוס טרויאני מוליך את הקורבנות לאפשר הרשאות מסוימות במכשיר ובכך מותיר אותו פגיע להתקנת נוזקות נוספות על ידי התוקפים.

על פי חוקרי ESET הטרויאני שם לו למטרה מכשירים בעלי מערכת הפעלה של אנדרואיד כולל אלו עם הגרסאות המעודכנות ביותר. הטרויאני מופץ באמצעות אתרים פרוצים, אתרים למבוגרים ורשתות חברתיות. תחת היומרה של אמצעי בטיחות, האתרים מפתים משתמשים להוריד עדכון Adobe Flash Player מזויף. הקורבן מגיע למסך עדכון שנראה לגיטימי ומפעיל את ההתקנה.

Fake Flash Player update screen

העדכון המזויף של Flash Player

איך זה עובד?
לאחר הורדת "עדכון" ה-Adobe Flash Player, מופיע מסך המתריע על "צריכת סוללה מוגברת" ודוחק במשתמש לעבור למצב מזויף של "חיסכון סוללה". כמו רוב הפופ אפים הזדוניים, ההודעה לא תפסיק לקפוץ עד שהמשתמש יסכים לקבלת השירות. פעולה זו פותחת את תפריט הנגישות במכשיר האנדרואיד, ומציגה רשימה של שירותים עם פונקציות הנגישות. בין האפשרויות המובנות, מופיעה אופציה חדשה "חיסכון סוללה" (שנוצרה על ידי הנוזקה בעת ההתקנה). לאחר מכן נפתח מסך המסביר שעל מנת לעבור למצב "חיסכון סוללה" יש לאפשר מספר הרשאות שבהמשך יאפשרו לתוקפים לשלוט מרחוק בפעולות הנעשות במכשיר ללא ידיעתו של המשתמש.

Pop up screen requesting Saving Battery after install

לאחר ההתקנה יופיע מסך הדורש להפעיל מצב "חיסכון סוללה"

Android Accessibility menu with the malicious service
תפריט הנגישות מציע את השירות הזדוני

Permissions requested by the malicious service
בקשת מתן הרשאות על ידי הנוזקה

ברגע שהמשתמש אישר את ההרשאות הללו מוסתר האייקון של Adobe Flash Playerולא ניתן לראות אותו ברשימת האפליקציות המותקנות. בשלב זה מוצג מסך נעילה על גבי המסך, שכביכול טוען את הפעולה של החיסכון בסוללה. ברקע יוצרת הנוזקה קשר עם שרת השליטה והבקרה של התוקפים, ושולחת אליו מידע על המכשיר שהודבק. השרת שולח בחזרה לינק שמוביל לאפליקציה זדונית נוספת, במקרה זה נוזקה לגניבת פרטי חשבונות בנק (למרות שניתן להגדיר אותה להתקנה של כל נוזקה אחרת, כמו רוגלות או נוזקות כופר).

lock screen

מסך הנעילה המסווה את הפעולות הזדוניות 


כל הפעולות הללו מתבצעות בחשאיות ומוסתרות מאחורי מסך הנעילה. לאחר שהעבריינים סיימו לשתול את הנוזקות, מסך הנעילה נעלם והמשתמש יכול להמשיך להשתמש במכשיר מבלי להיות מודע ליישומים שהותקנו במכשירו.

האם המכשיר שלי נדבק בנוזקה? כיצד ניתן לנקות אותו?
אם אתם חוששים שהתקנתם עדכון מזויף של Flash Player בעבר, ניתן לאמת זאת בקלות על ידי בדיקת "חיסכון בסוללה" תחת "שירותים" בתפריט נגישות. אם תחת "שירותים" מופיע מצב החיסכון, ישנו סיכוי טוב שהמכשיר נגוע בנוזקה.
כדי להסיר את הנוזקה, נסו להסיר את היישום באופן ידני מתוך הגדרות (Settings) -> מנהל יישומים (Application Manager) -> Flash Player.
במקרים מסוימים, הטרויאני מבקש מהמשתמש להפעיל זכויות מנהל התקנים. אם זה המקרה ואין באפשרותכם להסיר את האפליקציה, יש לבטל את הרשאות מנהל על ידי הגדרות (Settings)-> Security (אבטחה) -> Flash-Player ולאחר מכן להמשיך עם הסרת ההתקנה.
גם לאחר הסרת ההתקנה, המכשיר עדיין עשוי להיות נגוע וייתכן שנוזקות רבות כבר הותקנו על ידי הטרויאני. על מנת לוודא שהמכשיר שלכם נקי, אנו ממליצים להשתמש באפליקציית אבטחה למובייל כגון ESET Mobile Security & Antivirus כדרך בטוחה ופשוטה להסיר את האיומים מהמכשיר.

כיצד להישאר בטוחים?
מומחי האבטחה של ESET הכינו עבורכם מספר המלצות בסיסיות על מנת למנוע הדבקה בנוזקות במובייל:
- הורידו אפליקציות או עדכונים רק ממקור מהימן - במקרה של עדכון Adobe Flash Player, המקום הבטוח היחיד לקבל את זה הוא האתר הרשמי של Adobe. בדקו תמיד את כתובת ה- URL בדפדפן שלך.
- הכירו את ההרשאות שהאפליקציות במכשיר שלכם מאפשרות, והיו עירניים להרשאות נוספות שאפליקציות מבקשות.
- השתמשו בפתרון אבטחה למכשיר הנייד.

לאחרונה התגלו כ-13 אפליקציות זדוניות בחנות האפליקציות של גוגל המבקשות לגנוב את פרטי הכניסה של משתמשי הרשת החברתית אינסטגרם. אפליקציות גניבת הפרטים הופיעו בחנות האפליקציות הרשמית ככלים לניהול או הגדלת מספר העוקבים באינסטגרם.

instagram 1

האפליקציות הזדוניות כפי שהוצגו בגוגל פליי

תחת שם הזיהוי Android/Spy.Inazigram , זוהו 13 אפליקציות זדוניות בחנות האפליקציות הרשמית של גוגל. מטרתן היא לחלץ את פרטי הכניסה של המשתמש כך שישלחו לשרת מרוחק.
הזיהוי מעיד כי מקורן של האפליקציות הוא בטורקיה, אך הן עברו אדפטציה לאנגלית על מנת לאתר משתמשי אינסטגרם מכל העולם. בסך הכול, האפליקציות הזדוניות הותקנו על ידי 1.5 מיליון משתמשים. לאחר הזיהוי של חברת אבטחת המידע כל האפליקציות הוסרו מהחנות.

 איך זה בדיוק עובד?

כל האפליקציות פעלו באותה טכניקה של הזנת פרטי הכניסה על ידי המשתמש ושליחתם לשרת מרוחק. על מנת לפתות את משתמשים להוריד את האפליקציות, הובטח למשתמשים שמספר העוקבים, הלייקים והתגובות בחשבון האינסטגרם יעלו משמעותית.
באופן אירוני, פרטי החשבונות שנגנבו שימשו להעלאת את כמות העוקבים של משתמשים אחרים, כפי שיוסבר בהמשך הכתבה.

instagram 2

אפליקציית " Instagram Followers" מבטיחה להעלות את המעורבות באינסטגרם

כפי שניתן לראות כאן בצילום המסך, מתוך ניתוח של אחת מהאפליקציות הזדוניות “Instagram Followers”, היא דורשת מהמשתמשים להתחבר לחשבון האינסטגרם תוך הצגת מסך המתחזה למסך הכניסה של אינסטגרם. המשתמש מכניס את הפרטים והם נשלחים לשרת של התוקף. לאחר הכנסת הפרטים המשתמש לא יצליח לבצע את הכניסה לחשבון ויקבל הודעה שהסיסמא שגויה.

instagram 3

המסך המתחזה של כניסה לאינסטגרם

instagram 4

מסך הודעת השגיאה

מסך השגיאה כולל גם הודעה המציעה למשתמש לבקר באתר הרשמי של אינסטגרם על מנת לאשר שאכן החשבון שלהם ולאפשר להם להתחבר לאפליקציית צד שלישי. הקורבנות מקבלים הודעה על ניסיון לא מורשה להיכנס מטעמם ומתבקשים לאמת את החשבון שלהם ברגע שהם פותחים את אינסטגרם. מטרת ההודעות הללו להקטין את חשדם של הקורבנות.

instagram 5

הודעה רשמית של אינסטגרם המתריעה על הניסיונות כניסה לאפליקציה

 

אם התוקפים מצליחים והקורבן לא מזהה את האיום, זה מאפשר להם להמשיך ולהיכנס לחשבונות של הקורבן.

מה קורה לפרטים שנגנבים?

אתם בטח שואלים את עצמכם: מה כבר אפשר לעשות עם אלפי פרטי כניסה לאינסטגרם?
מלבד הזדמנות להשתמש בחשבונות שנפרצו להפצת דואר זבל ומודעות פרסומיות, יש גם סוגים שונים של "מודלים עסקיים" שבמסגרתם הנכסים היקרים ביותר הם עוקבים, הלייקים והתגובות שלכם באינסטגרם. במחקר הנוכחי, השרתים אליהם הועברו פרטי הכניסה הם של אתרי מכירות של חבילות שונות המאיצות פופולריות באינסטגרם.

instagram 6

אתרים המוכרים עוקבים באינסטגרם

 

 הסכמה הבאה מתארת את המתקפה:

instagram 7

כיצד להתגונן?

אם הורדתם את אחת מהאפליקציות האלו, תוכלו למצוא את אחד הסמלים שלהן תחת היישומים המותקנים שלכם. כמו כן, תוכלו לראות הודעה מאינסטגרם על מישהו שמנסה להיכנס לחשבון שלך, כפי שמוצג בתמונה הרביעית. לבסוף, תוכלו להבחין שכמות העוקבים שלכם גדלה באופן מוזר או שתקבלו תגובות על פוסטים שמעולם לא פרסמתם. פה תחשדו.

על מנת לנקות את המכשיר, ניתן להסיר את האפליקציות הנ"ל דרך מנהל היישומים שלכם או להשתמש בפתרון אבטחה אמין למובייל שיסיר את האיומים עבורכם.

כדי להגן על החשבון האינסטגרם שלכם, שנו את הסיסמא שלכם כבר עכשיו. במידה ואתם משתמשים באותה סיסמה בפלטפורמות מרובות, שנו גם את הסיסמאות האחרות. מחברי התוכנות הזדוניות ידועים בכך שהם מנסים לגשת עם אותם פרטים לשירותי אינטרנט אחרים, מומלץ להשתמש בסיסמאות שונות עבור כל אחד מהחשבונות שלכם.

כדי למנוע מהתוקפים להגיע לחשבונות המדיה החברתית שלכם, ישנם כמה דברים שכדאי לזכור בעת הורדת אפליקציות צד שלישי מ- Google Play:
אל תכניסו המידע הרגיש שלך לצורות התחברות מהימנות של יישומי הצד שלישיים. על מנת לברר אם אפליקציה היא מהימנה, בדוק את הפופולריות של המפתחים שלה על ידי מספרי התקנות, דירוגים, והכי חשוב, תוכן של חוות דעת.
עם זאת, לא כדאי לקפוץ למסקנות מהר מדי, לא תמיד אפשר לסמוך על דירוגים וסקירות (לעיתים הם גם תוצאה של טכניקות של התוקפים). אם יש לכם ספק, בחרו באפליקציות איכותיות המסומנות כ-Top Developer או נמצאות בקטגורית "בחירת העורך".

ואחרון חביב, השתמשו בפתרון אבטחה למובייל כדי להגן על המכשיר.

יש לכם סמארטפון הפועל על מערכת ההפעלה של אנדרואיד? ייתכן שכמה מהאפליקציות שהתקנתם משאירות אתכם פגיעים למספר סוגי מתקפות, כך גילו חוקרים מאוניברסיטת משיגן בארה"ב. במאמרם חשפו החוקרים נקודות תורפה באפליקציות המאפשרות לתוקפים לגנוב מידע ממשתמשים ואף לשתול נוזקות במכשירי האנדרואיד.

חוקרים מאוניברסיטת מישיגן זיהו פרצת אבטחה חמורה במאות אפליקציות המצויות ב-Google Play. צוות החוקרים טוען שהדבר קורה בעיקר באפליקציות היכולות ליצור "פורטים" (port) פתוחים- בעיה מוכרת במחשבים- ועכשיו מסתבר גם במכשירי סמארטפון. כלומר לבעיה הזו אין שום קשר למערכת ההפעלה של המכשיר או המכשיר עצמו; במקום זאת, מקורה של "הדלת אחורית" הזו נובעת משיטות קידוד לא מאובטחות על ידי מפתחי האפליקציות.

החוקרים השתמשו בכלי שיצרו על מנת לסרוק מעל 100,000 אפליקציות לאנדרואיד ומצאו למעלה מ-400 אפליקציות שעלולות להיות פגיעות – כאשר לאחת האפליקציות שנמצאו יש 10-50 מיליון הורדות.

ראשית בואו נבין מהם "פורטים", פורטים יכולים להיות פיזיים ויכולים להיות אלקטרוניים. פורטים פיזיים הם למשל חיבור USB המשמש להעברת נתונים בין התקנים. פורטים אלקטרוניים הן מעין דלתות בלתי נראות המאפשרות לאפליקציות או שירותים לתקשר עם מכשירים או שירותים אחרים. לדוגמה פורט 80 נפתח ע"י הדפדפן כדי להתחבר לאינטרנט.
במילים אחרות, כל אפליקציה שמותקנת על מכשיר פותחת פורטים (1-65535) שהם לא בשימוש ויכולה לשמש כמעין דלת וירטואלית שמאפשרת לתקשר ולהחליף מידע בין מכשירים. זה יכול להיות סמארטפון, שרת, מחשב אישי או כל מכשיר חכם המחובר לאינטרנט.
במהלך השנים, יותר ויותר אפליקציות פועלות דרך האינטרנט או הרשת, אך במקביל, האפליקציות הללו והפורטים שנפתחים באמצעותן יכולים להוות חוליה חלשה במערכת של המכשיר שלכם, מה שעלול לאפשר לפורץ לפרוץ או להשתלט על המכשיר שלכם ללא ידיעתכם.

זה בדיוק מה שצוות אוניברסיטת מישיגן פירט בעבודת המחקר שלהם. לדבריהם, הבעיה העיקרית היא עם אפליקציות כמו WiFi File Transfer, שהותקנה בין 10 מיליון ל -50 מיליון פעמים. האפליקציה מאפשרת למשתמשים להתחבר לפורט על הטלפון החכם שלהם באמצעות Wi-Fi, ולכן מקלה על תהליך העברת קבצים מטלפון למחשב. בשל אבטחה לא מספקת, יכולת זו של האפליקציה היא כנראה לא רק בידי הבעלים של הטלפון החכם, אלא גם בידיים של גורמים זדוניים.
אומנם על פניו, יישומים כמו WiFi File Transfer מציבים פחות איומים, שכן הם מתוכננים לעבוד ברשת מקומית בלבד, המחייבת את התוקפים להיות מחוברים לאותה רשת כמו של הקורבן. מאידך, בעיה זו מסוכנת ביותר בתרחישים שבהם אתה מתחבר לרשת Wi-Fi ציבורית או לרשת ארגונית לעתים קרובות יותר.

כדי לקבל הערכה ראשונית על ההשפעה של החולשות הללו, הצוות ביצע סריקת פורטים ברשת הקמפוס שלו, ובתוך 2 דקות הוא מצא מספר מכשירים ניידים המשתמשים באפליקציות הפגיעות הללו.
אין ספק, שפורט פתוח מהווה כר פורה לתקיפה, אבל חשוב לציין שלא ניתן לנצל פורט פתוח אלא אם כן מותקנת במכשיר אפליקציה שפותחת אותו וקיימת בה פרצת אבטחה באימות או כזו שמאפשרת הפעלה של קוד מרחוק.


ניתן לראות את ההתקפות בסרטונים הבאים:

שימוש בפורטים פתוחים של האפליקציה על מנת לגנוב תמונות באמצעות השתלת תוכנה זדונית

גניבת תמונות באמצעות התקפת רשת

שליחת SMS לשירותי פרימיום

לדברי הצוות, ניתן לנצל את נקודות התורפה הללו בכדי לגרום נזק חמור מאוד למשתמשים כמו לגנוב אנשי קשר, תמונות ואפילו סיסמאות או פרטי כניסה, וכן לבצע פעולות רגישות כגון התקנה של תוכנות זדוניות על המכשיר.

אנחנו ממליצים להתקין על המכשיר אפליקציית אבטחה שתדע גם לאתר ולהתריע על התקנות של אפליקציות שאינן בטוחות (potentially unsafe applications) ולא רק לזהות וירוסים. כמו כן, חשוב לזכור שחיבור לרשתות WiFi ציבוריות חושף אותנו להתקפות מסוג זה וגם מסוגים אחרים שיכולים לאפשר לתוקפים לגנוב את החשבונות דוא"ל שלנו, הפרופילים שלנו ברשתות חברתיות, וגם במקרים מסוימים את פרטי הגישה שלנו לחשבון הבנק. לכן לא מומלץ להתחבר לרשתות כאלה, ולהשתמש רק ברשתות פרטיות ומאובטחות או לגלוש באמצעות הרשת הסלולרית.

למאמר המלא

חוקרי  ESET גילו מעל 80 אפליקציות זדוניות המתחזות למודים של המשחק הפופולארי Minecraft שהורדו ע"י קרוב למיליון משתמשים מחנות האפליקציות הרשמית של גוגל.

לפני שנתיים פחות או יותר דיווחנו לכם על אפליקציות זדוניות שהתחזו למיינדקרפט על מנת להפחיד את אתכם. היום אנחנו מדווחים לכם על עוד הונאה שמתבצעת במסווה של אפליקציית המשחק המוכרת. כעת שחקני האנדרואיד של המשחק מיינקרפט נפלו קורבן ל-87 אפליקציות זדוניות שהתחזו למודים של המשחק בגוגל פליי, אך בפועל המשתמשים חוו לאחר ההורדה הצגה אגרסיבית של מודעות פרסומיות והונאות. עד כה, 990,000 התקינו את המודים המזויפים.

pic1

החוקרים חילקו את הפעילות הזדונית לשתי קטגוריות מרכזיות; אפליקציות המציגות מודעות, כ-14 אפליקציות זדוניות שהותקנו על ידי 80,000 משתמשים, בגלל ההצגה האגרסיבית של המודעות ניתן לראות את הביקורות השליליות על האפליקציות.

הקטגוריה השנייה הן אפליקציות מזויפות המפנות את המשתמשים שהורידו אותן לאתרי הונאה. במקרה זה דווח על 73 אפליקציות מזויפות שהותקנו על ידי 910,000 מאז שהועלו לחנות האפליקציות. לאחר ההתקנה, היישומים יציגו מסך עם לחצן הורדה. לחיצה על הלחצן אינה מורידה את המודים שהתכוון המשתמש להוריד; במקום זאת, האפליקציה מפנה את המשתמש לאתר שנפתח בדפדפן ומציג סוגים שונים של תוכן מטריד החל ממודעות, סקרים, הצעות לקופונים חינם, זכייה בפרס, פורנו, עדכונים מזויפים ואזהרות מזויפות על וירוסים שמנסות להפחיד את המשתמשים. ההודעות מוצגות למשתמשים בשפות שונות בהתבסס על כתובות ה- IP שלהם.

pic2

שימו לב! במיוחד כשמדובר באפליקציות שמבטיחות לנו בונוסים או שדרוגים לתוכנות או שירותים מוכרים, חשוב להקדיש כמה שניות לפני שאנחנו מתקינים אותן ולראות מה הדירוג שלהן ומה וכמות המשתמשים בהן. במקרה הזה אפשר במבט חטוף על הדף של כל אחת מהאפליקציות הנ"ל להבין שהן לא אמינות.

לניתוח המלא של חוקרי ESET

 

עד 2020, מעריכים כי מספר מכשירי ה- IoT (האינטרנט של הדברים) יעלה על 20 מיליארד. החל ממקררים חכמים למכונות קפה ועד בובות ברבי, מכשירים "מחוברים" לאט לאט ממלאים את משקי הבית שלנו. רבים מההתקנים הללו הם כבר עכשיו וכנראה גם בהמשך, נגישים באמצעות הטלפונים חכמים שלנו. בזמן שזה נוח מאוד עבור משתמשים, ישנן חולשות אבטחה בסמארטפונים שלנו שניתן לנצל כדי להפוך חפצים חכמים נגדנו. בעוד רבים מאתנו מכירים היטב את ההתנהלות ואמצעי הזהירות עם מחשבים נייחים וניידים, המשמעת שלנו הרבה יותר רופפת ואנחנו פחות מודעים לסיכונים כשמדובר בטלפונים שלנו.

רפואה חכמה

בשנים האחרונות חלה עלייה במספר המכשירים הרפואיים ומכשירי מדידת הכושר המחוברים לאינטרנט, שרבים מהם מזינים נתונים או יכולים להיות מבוקרים באמצעות אפליקציות בסמארטפונים שלנו. משמעות הדבר היא כי מכשירים כאלה המכילים נתונים רגישים על הבריאות שלנו חשופים למתקפות סייבר. מכשירי IoT מסתמכים יותר ויותר על הטלפונים החכמים שלנו בעזרת חיישנים מובנים הנתמכים באמצעות אפליקציות. הבעיה עם זה היא כי התשתית לאבטחה של הנתונים המועברים דרך הטלפונים שלנו פשוט עדיין לא קיימת.

תחבורה חכמה

זה לא רק נתונים רפואיים שניתן לנצל, אנו משתמשים יותר ויותר בטלפונים שלנו כדי לגשת לבנקאות מקוונת, לקנות מוצרים דרך אתרי אינטרנט ולגשת לשירותים ציבוריים. הנתונים שנאספים הם מכרה זהב עבור עברייני הרשת.
מכוניות אוטונומיות, מערכות חכמות של ניהול תנועה ופיתוחים קיימים של שירותים שאנחנו כבר מכירים כמו Moovit שעוזרת לנו להגיע ממקום למקום בתחבורה ציבורית או Uber ו- Gett המאפשרות הזמנה, איתור ותשלום על מוניות דרך האפליקציה הם חלק בלתי נפרד ממהפכת ה-IoT. החיסרון העיקרי של הניידות החכמה הוא שהשימוש ב GPS-הוא חלק בלתי נפרד מהפונקציונליות שלה, GPS נתפס כמטרה קלה עבור פושעי הסייבר. גיימרים למשל מנצלים את ה-GPS כדי לרמות במשחק המציאות הווירטואלית פוקימון גו. בדיוק כך פושעי הסייבר יכולים בעזרת נתונים החושפים את המיקום שלכם או של המכונית שלכם – לדעת איפה אתם נמצאים, או יותר מפחיד לדעת איפה אתם לא.

תעשייה חכמה

גם עסקים יכולים להיות חשופים לסיכונים רחבים יותר בעקבות המהפכה. תארו לעצמכם את הנזק הפוטנציאלי אם עברייני סייבר יוכלו להתחבר לרשתות ייצור מבוססות IoT. בעיקרון המגמה היא חיובית, ייצור חכם הוא במגמת עלייה ושיתוף פעולה בין האדם למכונה ממשיך לגדול. תהליכי הייצור יכולים כעת להיות מרושתים ולספק יעילות רבה יותר, כמו גם אבחון בזמן אמת ותגובה מהירה. עם זאת, הסמארטפונים שלנו עלולים לייצר נקודת תורפה. למשל חברות שמחברות התקני IoT לרשתות לרוב בטוחות כמו המכשירים עצמם. עם זאת, העלייה בנוהל של הבאת הסמארטפון האישי לעבודה כמדיניות יכולה להשאיר פרצת אבטחה אם אלו רשתות שניתן לגשת אליהן באמצעות טלפונים חכמים כי למכשירים הפרטיים שלנו אין את אישורי אבטחה הדרושים.

ערים חכמות

בדיוק כפי שאנו מיעלים את חיי הבית שלנו בעזרת מכשירים מחוברים, הערים שאנו חיים בהן הופכות חכמות יותר גם כן. מועצות מקומיות יכולות כעת להשתמש בנתונים כדי לסייע בהחלטה על יישומי התכנון, כדי לפקח על צריכת החשמל ואף לחזק את בטיחות הציבור ואת תגובת החירום. בעוד כל אלו חדשות טובות, חלק מן הנתונים שנאספים יכולים להיות מנוצלים על ידי האקרים באמצעות הסמארטפונים שלנו. ככל שהעיר שלכם חכמה יותר, כך יש לה יותר מערכות מחשוב וכך גם גדלה הגישה לנתונים שנאספו על ידי מערכות אלה. במקביל, בסמארטפונים שלנו יכולים להיות עד 25 חיישנים שונים, כמו GPS, מצלמות ומיקרופונים, גירוסקופ (מכשיר המשמש לניווט, לייצוב כלי שיט, כלי טיס וכו') ועוד רבים וטובים. זוהי בעיה משום שרוב היישומים הניידים אינם חייבים לבקש רשות לגשת לחיישנים של הטלפון החכם, כלומר תוכנות זדוניות יכולות "להאזין" בחשאיות ולגנוב מידע רגיש.

בשנת 2016 דווח כי החיסרון הגדול ביותר עבור צרכנים המחפשים לרכוש מכשירי IoT היה המחיר, 62% מהמשיבים טענו כי המכשירים האלו יקרים מדי. אך ככל שהמחיר יורד, ומספר ההתקנים המחוברים גדל, האבטחה ב- IoT הופכת להיות משהו שחייבים לקחת בחשבון - וצרכנים צריכים להתייחס אליו ברצינות.

רבים התמכרו בחודשים האחרונים לפורטנייט - משחק שבו צונחים באי בודד, אוספים כלי נשק ומחסלים את כל היריבים. מה כל כך מושך במשחק הזה, ואיך גרסאות מזויפות שלו יכולות להרוס לכם את הטלפון?

מה שתוקע את הראש של רבים במסך בחודשים האחרונים זה המשחק פורטנייט (Fortnite) – אחד המשחקים הפופולריים בעולם. הבעיה (פרט להתמכרות) – שישנן גם גרסאות מזוייפות למשחק.

בפורטנייט השחקנים מגלמים דמויות שונות שמוצנחות לאי בודד. שם הם צריכים לאסוף (או לרכוש) כלי נשק וציוד, לחבור לקבוצות, ולחסל את המתחרים. עד כה אין כאן משהו מרגש שלא ראינו בעבר, אבל האנימציה והסגנון הייחודי גרמו לרבים להתמכר.

עוד גורם שמושך אנשים למשחק, הוא הזמינות, ניתן לשחק כמעט בכל מכשיר שכולל מסך - מחשבים, קונסולות וסמארטפונים. אבל זו גם נקודת התורפה שלו. מאחר שכולם מחפשים אותו בטירוף בחנות האפליקציות, יש מי שמנצל את זה ומעלה אפליקציות מתחזות למשחק שגורמות נזק או מפציצות את הטלפון בפרסומות. אתם תחשבו שמדובר במשחק או באפליקציות שעוזרות לכם לנצח, ותורידו.

אמיר כרמי, מנהל הטכנולוגיות שלנו הדגים בתוכנית נקסט עם דרור גלוברמן מה קורה הלאה - האפליקציות המפוקפקות מעבירות אותנו מאתר לאתר, עד שאנחנו מתקלים בהודעה שקרית שיש וירוסים על הטלפון שלנו - מורידים "אנטי וירוס", שמוביל בעצמו לאפליקציות אחרות.

מה עושים? מחכים להכרזה הרשמית על המשחק לאנדרואיד בשבועות הקרובים - ואז נדאג לתת לכם לינק בטוח. כך או כך - כל הגרסאות האחרות של המשחק נמצאות באתר הזה.

בשנים האחרונות נוזקות כופר השתלטו על מחשבי ה-PC וב-2016 הן הגיעו גם לאנדרואיד – ובגדול. איך אפשר למנוע התקפות כאלה, מה עושים אם כבר נדבקתם והאם כדאי לשלם את הכופר?

2016 הביאה איתה התפתחויות מרתקות בזירת הכופר לאנדרואיד, ובפרט בתחום הכופר למכשירי הסלולר, שהופך לאחד הנושאים המרכזיים בכל הנוגע לאבטחת מידע במובייל. במהלך השנה החולפת עברייני הסייבר השתמשו בטכניקות של נעילת מסך (lock-screen) והצפנת קבצים (crypto-ransomware), תוך שהם מיישמים על המכשירים הניידים את הטכניקות שכבר הוכיחו את עצמן במחשבים האישיים. בנוסף פיתחו התוקפים שיטות מתוחכמות וייחודיות עבור מכשירי האנדרואיד.

מה כל כך מושך האקרים במכשירי המובייל הללו? אנחנו מחליפים את השימוש היומיומי שלנו במחשב ה-PC ועוברים לשימוש מוגבר במכשירי המובייל, שהופכים למקום אחסון לנתונים יקרי ערך. המידע הרגיש שנאגר במכשירים שלנו הופך את מתקפת הכופר במובייל לאטרקטיבית יותר עבור פושעי הסייבר, ובהתאם – מספר הזיהויים לנוזקות כופר באנדרואיד גדל ביותר מ-50% לעומת 2015, וקפיצה משמעותית נרשמה במחצית הראשונה של 2016.

Picture1 e1488122476245

מגמת זיהוי נוזקות הכופר לאנדרואיד

פרט לטקטיקת ההפחדה הנפוצה ביותר של נעילת המסך והצגת הודעה מתחזה הטוענת כי במכשיר נמצא תוכן לא חוקי (Police Ransomware), פושעי הסייבר השקיעו מאמצים מרובים לשמור על פרופיל נמוך ולכן מצפינים את הנוזקה עמוק בתוך התוכנות הנגועות על מנת שלא יזוהו.

כלכלת תוכנות הכופר, לפי ה-FBI, הכניסה להאקרים כמיליארד דולר ב-2016, והסכום הזה רק מהווה תמריץ עבור התוקפים להמשיך ולהרחיב את פעילותם. חשוב להיות מודעים לכך שהאיום הזה נמצא גם במובייל ולנקוט צעדי מניעה. הצעדים הראשונים והחשובים ביותר הם להימנע מרכישה בחנויות אפליקציות לא רשמיות ולוודא שעל מכשירכם מותקנת אפליקציית אבטחה מעודכנת. בנוסף חשוב מאוד שיהיה גיבוי של המכשיר המכיל את כל המידע הקריטי שנשמר עליו. כך, גם אם תפלו קורבן, הקבצים המוצפנים יהיו נגישים בגיבוי וכל הסיפור יסתיים במטרד מינורי.

מה עוד אפשר לעשות כדי למנוע מנוזקה להשתלט לכם על הטלפון? חשוב תמיד לבדוק את רשימת ההרשאות שמבקשת אפליקציה בעת ההתקנה, ולחשוב אם הן באמת דרושות לה, ולא משנה אם זו אפליקציה של חברה קטנה או של חברה גדולה ומוכרת כמו Facebook Messenger. אותו הכלל תקף גם כאשר יורדים עדכונים אוטומטיים והאפליקציה מבקשת מאיתנו לאשר הרשאות נוספות. אחד היתרונות בגרסה 7 האחרונה של אנדרואיד, הוא החזרה של מערכת ההרשאות לאפליקציות. זו מקפיצה חלונות התראה כאשר אפליקציות מבקשות הרשאות נוספות, ונותנת אפשרות לשלול מהאפליקציה הרשאות שכבר הענקנו לה.

אל תשלמו

אם בכל זאת נדבקתם בתוכנת כופר במכשיר שלכם, יש כמה דרכים להסירה, והן משתנות לפי סוג הנוזקה.
נעילת מסך "פשוטה": מדובר על מרבית המקרים של התקפות הכופר באנדרואיד. כדי להתגבר על כך העבירו את המכשיר ל"מצב בטוח", כך שאפליקציות צד שלישי (כולל תוכנת הכופר) לא יוכלו לפעול ותוכלו להסיר את האפליקציה הזדונית בקלות. שימו לב שאם בעת התקנת האפליקציה נדרשו הרשאות מנהל, ראשית יש להסיר את ההרשאות מתפריט ההגדרות ורק לאחר מכן להסיר את האפליקציה.

נעילת המסך בקוד PIN: אם תוכנת כופר בעלת הרשאות מנהל נעלה את המכשיר באמצעות קוד PIN של המכשיר או באמצעות סיסמת נעילת המסך, המצב קצת יותר מורכב. ניתן לשחרר את הנעילה באמצעות Google’s Android Device Manager , באמצעות שירותים ייחודיים לכל יצרנית, כמו זה של סמסונג או באמצעות כלי ניהול עסקי למובייל (MDM).

 Android Device Manager e1488456386748

 מתוך האתר של גוגל google.com/android/devicemanager

כמו כן, אם במכשיר מאופשרות "אפשרויות מפתח", ניתן גם לחבר את המכשיר למחשב ולמחוק את קובץ ההגדרות שמכיל את קוד הנעילה, באמצעות ADB tools. במכשירי אנדרואיד בגרסה 4.4 (Kitkat) ומטה, ניתן להשתמש ב-Google Login: יש להקליד את הקוד 5 פעמים בצורה שגויה, ואז להגיע למסך שמאפשר חיבור לחשבון הגוגל ואיפוס סיסמה. המוצא האחרון הוא איפוס הגדרות היצרן, שימחק את כל הנתונים על המכשיר, ויש להשתמש בו רק אם אין פתרונות אחרים שזמינים בכלי ניהול המובייל.

גם אם אלה לא עובדים מומלץ לא לשלם את הכופר הנדרש. נכון, בחלק מהמקרים מי שישלם את הכופר יצליח לשחרר את הקבצים המוצפנים, אבל זה לא תמיד מה שקורה בפועל. כאמור, תוכנות כופר שמצפינות את הקבצים הן הפופולריות בקרב יוצרי הנוזקות, ורבים מפושעי הסייבר קפצו על הטרנד הזה בתקווה לשחזר את ההצלחה של קודמיהם. אבל, לפי מחקר של ESET, רבות מהנוזקות הללו מיושמות באופן גרוע, ועבור המשתמשים זה אומר שני דברים: ראשית, גם אם תשלמו לא תוכלו לקבל את מפתח ההצפנה לקבצים שלכם; ושנית, בגלל חוסר התחכום ייתכן שתוכלו לחלץ את הקבצים שלכם מבלי לשלם.

 כאשר מדובר במתקפות על מכשירי אנדרואיד, קיימים מקרים שבהם מפתח ההצפנה או הקוד לשחרור נעילת המסך בכלל לא קיימים, כך שתשלום הכופר לא היה מאפשר את שחרור הקבצים או המכשיר בכל מקרה. בנוסף, ובעיקר אצל משתמשים בודדים או עסקים שנופלים קורבן למתקפת כופר ומתמודדים עם אובדן נתונים, אף אחד לא מבטיח שפושעי הסייבר יעמדו בתנאי ההסכם וישחררו את המידע לאחר התשלום, וגם אם שילמתם לא בטוח שהם, או תוקפים אחרים, לא יחזרו לתקוף בשנית.

 

אחרי הסרטון ששיתק את האייפון קבלו את הדבר הבא. חוקרים גילו שהודעה טקסט אחת יכולה לגרום לקריסה של אפליקציית ההודעות באמצעות MMS במערכת ההפעלה iOS הודות לבאג שהתגלה לאחרונה. החדשות הטובות אתם יכולים לפתור את זה לבד.

הודעה טקסט אחת מאפשרת השבתה של אפלקציית ההודעות בכל iPhone עקב באג שהתגלה לאחרונה.
הבאג שגורם לחסימה של אפליקציית ההודעות במכשיר האייפון, לא מאפשר למשתמש לקרוא הודעות טקסט או iMessages. הפגיעה היא משמעותית, כך שגם כאשר המשתמש נועל את המכשיר או מאתחל אותו מחדש החסימה לא נפתחת.

בכדי להפעיל את ההשבתה, כל שצריך זה לשלוח למכשיר ה"מטרה" vCard (איש קשר ממספר הטלפונים) המכיל כל כך הרבה שורות קוד שאפליקציית ההודעות לא מסוגלת לעבד את המידע. כאשר האפליקציה פותחת את ההודעה המכילה את ה-vCard, האפליקציה קופאת ולמשתמש מוצג מסך לבן.

בגלל שאפלקציית ההודעות של אייפון תמיד מנסה לפתוח את ההודעה האחרונה שהתקבלה, גם לאחר אתחול הטלפון או נעילתו ושחרורו האפליקציה תמשיך לנסות לפתוח את ההודעה הזדונית.

לינק לסרטון שמדגים כיצד ניתן לשתק את האייפון באמצעות הודעת טקסט בלבד:
https://www.youtube.com/watch?v=N2doEKKywck

הבאג זהה ל “Effective Power” שהתגלה בחודש מאי ב-2015, כאשר משתמשי האייפון שמו לב להודעת טקסט המכילה תוכן בערבית שלאחר קבלתה מכשיר האייפון הושבת.

securityaffairs

מקור: securityaffairs

מדובר כבר במקרה חמישי בשנים האחרונות שמתגלה פירצה באייפון שניתן לנצל באמצעות שליחת הודעת MMS. במקרים אחרים היו גם משתמשים בפרצות כדי לבצע jailbreak למכשיר ולאפשר להתקין עליו אפליקציות שלא מהחנות הרשמית, וגם כחלק מהתקפות מרוחקות על מכשירים, כדי לגנוב מהם מידע או לרגל אחר המשתמש.

דווקא בגלל שמשתמשי אייפון ואפל הם יחסית מוגנים מנוזקות ופרצות, התפיסה המוטעית של ביטחון עלולה לחשוף אותם להתקפות. חשוב לזכור שלא קיימים מכשירים או מערכות הפעלה שהם חסינים לחלוטין לפריצה, ולכן מומלץ לבצע עדכוני אבטחה ברגע שהם משוחררים.

בחזרה להווה, יש גם חדשות טובות למשתמשי האייפון שקיבלו את ההודעה הזדונית. קיימות שתי דרכי פעולה אפשריות על מנת להסיר את ההודעה מראש רשימת ההודעות:

- באמצעות הקלקה על הלינק הבא: vincedes3.com/save.html, אשר יפתח חלון לשליחת הודעה חדשה, לחיצה על "cancel"/ "ביטול" ומחיקה של ההודעה הזדונית.

- ניתן לבקשר מחבר שישלח לך הודעה או לחילופין לשלוח הודעה למכשיר שלך בעזרת Siri. ברגע שתתקבל הודעה חדשה האפליקציה תאפשר לפתוח את ההודעה החדשה ובכך לא תנסה לעבד שוב את ההודעה הזדונית.

 

מעבדת הוירוסים שלנו זיהתה בחנות האפליקציות של גוגל 343 אפליקציות שמתחפשות למשחקים פופולאריים אך למעשה גולשות בשם בעל המכשיר לאתרי פורנו. ההאקרים מצליחים להעלות כ-10 אפליקציות כאלה מדי שבוע לחנות

נדמה לכם שאתם מורידים אפליקציית משחק אהוב ופופולארי – השם של המשחק והאייקון שלו נראים זהים לחלוטין למקור. למעשה, אתם עלולים ליפול שולל בידי אפליקציה זדונית שנקראת Porn Clicker שנכנסת בשמכם לאתרים פורנוגרפיים ומקליקה על פרסומות בתוכם כדי ליצור רווחים.

לרוב אותן אפליקציות מתחזות למשחקים פופולריים. 343 אפליקציות כאלו אותרו על ידי המעבדה שלנו ב-7 החודשים האחרונים. זוהי מתקפת הווירוסים המשמעותית ביותר שנעשתה עד היום על חנות האפליקציות. בין היתר נמצאו למעלה מ-60 גרסאות מתחזות של אפליקציות GTA ו-30 של Subway Surfers.

לא פעם ולא פעמיים ניסו לתקוף את חנות האפליקציות של גוגל, אבל המתקפה הזו היא המוצלחת ביותר כאשר מדי שבוע 10 אפליקציותPorn Clicker עוברות מתחת לרדאר הבידוק הביטחוני של גוגל. למרבה הצער, הרבה משתמשים נופלים בפח ויש 3,600 הורדות בממוצע לכל אפליקציה מתחזה שכזו.

לגוגל קשה לעקוב אחרי אפליקציות המדוברות כי הן יוצאות כל העת בגרסאות בעלות קוד חדש כדי לטשטש את העילה האמיתית לקיומן מול הבידוק הביטחוני של גוגל. ESETזיהתה את המתקפה הראשונה של אפליקציות מסוג זה בפברואר 2015 ומאז חל גידול מתמיד ומתגבר.

מה קורה במכשיר אחרי שמתקינים את האפליקציה?

לרוב האפליקציה "מתחפשת" לאפליקציית הגדרות מערכת. כך היא למעשה מרתיעה את המשתמשים מלהסיר אותה, כי אף אחד הרי לא רוצה להתעסק עם "המערכת". מרגע שהיא נכנסת לפעולה היא מבצעת הקלקות פיקטיביות בפרסומות ומייצרת רווחים נאים עבור המפעילים שלהן. לטובת העניין ה-Porn Clickerמחלישה את המכשיר – מנצלת את הסוללה, המעבד ואת חבילת הגלישה. המכשיר גם עלול להינזק ממפגעים רבים אחרים כל עוד האפליקציה הזאת נמצאת במכשיר.

למרות הנזק הרב שאפליקציות כאלה מסבות, אפשר להקדים תרופה למכה או למנוע ממנה לפגוע בזמן.

תוכלו להימנע מלהוריד את האפליקציה הזדונית אם תעשו כמה דברים:

דירוג האפליקציה – אם אפליקציה מקבלת דירוג נמוך בחנות זה מעיד על חוויות המשתמש השליליות של אלו שכבר "אכלו אותה". כדאי גם לקרוא ביקורות שגולשים אחרים כותבים, אם יש כאלה שכותבים שמדובר בהונאה ומזהירים גולשים אחרים.

להתקין רק מהחנות של גוגל – נכון שהרבה אפליקציות זדוניות מוצאות את דרכן פנימה אבל עדיין בטוח יותר להתקין מחנות רשמית מאשר ממקורות לא מוכרים.

בררו מה שם המפתח של האפליקציה – מתחת לשם האפליקציה תמיד מופיע שם החברה שפיתחה אותה. חשוב לבדוק מי החברה המפתחת את האפליקציה ואם מופיע שם אחר ולא מוכר, אז אל תתקינו.

האפליקציה מבקשת הרשאות משונות – מכירים את זה שכשאתם מורידים אפליקציה אתם צריכים לאשר רשימת הרשאות שהאפליקציה מבקשת בשביל לפעול על המכשיר שלכם? אם אפליקציית משחק פשוטה דורשת גישה לאנשי הקשר שלכם, לביצוע שיחות או למיקום שלכם, תבינו שמשהו בזה לא תקין.

מה עובר על המכשיר שלי? – האפליקציה הרי גוזלת משאבים של המכשיר כשסוללה היא הראשית שבהם. תוסיפו לזה שהמכשיר מתחמם יותר מדיי, הסוללה נגמרת מהר מדיי, חבילת הגלישה אוזלת מהר מדיי, הזיכרון במכשיר מתחיל לאזול. זה אמור בהחלט לעודד חדש.

התקינו אפליקציית אבטחה – כל המחקרים מצביעים שיותר ויותר וירוסים ואפליקציות זדוניות עוקפים את מערכת ההפעלה אנדרואיד ויותר ויותר אנשים נופלים בפח. אל תזלזלו – תהיו הרבה יותר רגועים אם תתוקן במכשיר שלכם אפליקציית אבטחה שתזהה התנהגות מטרידה של אפליקציות ותדווח על כך או תעצור מלכתחילה את ההתקנה שלהן על גבי המכשיר הסלולרי היקר שלכם.

במסווה של שירותים אטרקטיביים ליוטיוב, אפליקציית “Boost Views” גונבת את פרטי ה-PayPal של משתמשיה. עד כה האפליקציה הזדונית הורדה על ידי 100,000 משתמשים.

האפליקציה שזוהתה ע"י חוקרי חברת אבטחת המידע ESET, מבטיחה לייצר רווחים מצפייה בתוכן YouTube בתוך האפליקציה, וכן להגדיל את הטראפיק ב- YouTube בתמורה לרכישת חבילות צפייה. על פי תיאור האפליקציה, משתמשים יכולים בקלות למשוך את הרווחים שנצברו לחשבון PayPal שלהם.

עם זאת, אם משתמשים מנסים לעשות זאת על ידי הזנת פרטי PayPal שלהם לתוך טופס "אימות", הם ימצאו את עצמם קורבנות להונאה – כסף הם ממש לא ירוויחו מהסיפור הזה. גרוע מכך, פרטי ה-PayPal שלהם נמצאים כעת לרשותם של התוקפים, מוכנים לשימוש.

youtube 1

כך נראית האפליקציה בגוגל פליי

youtube 2

youtube 3

ביקורות שליליות על האפליקציה בגוגל פליי


איך זה עובד?
ברגע שהאפליקציה מותקנת, המשתמש מתבקש ליצור חשבון. לאחר תהליך הכניסה, המשתמש יכול לבחור את אחד השירותים שהאפליקציה מספקת.
על מנת להרוויח כסף מצפייה בסרטוני YouTube, אחד מהשירותים המרכזיים שמספקת האפליקציה, ישנו נגן סרטונים הנקרא “Viewer”. המשתמשים יכולים לצפות בסרטונים בנגן בתמורה ל$0.0001-0.0005 לדקה, כשבתחתית המסך יש חווי לכמות הכסף שהמשתמש צבר עד כה.

youtube 4

נגן הסרטונים של האפליקציה המציג את סכום הכסף שנצבר

לאחר שנצברו $ 0.09 במהלך 16 שעות של צפייה בתוכן לאחר שראו החוקרים שאין שום אזכור לסף מינימום לתשלום, ניסו החוקרים למשוך את הסכום שנצבר. על מנת למשוך את הכסף, יש להזין תחילה את פרטי הכניסה של PayPal בטופס התחברות לא מאובטח עבור "אימות". לאחר שהמשתמשים מזינים את הפרטים שלהם, הם מקבלים הודעת שגיאה "התחברות לא חוקית" ופרטי ה- PayPal נשלחים ללא הצפנה לשרת של המפתחים.
פרטי ה-PayPal/ פרטי האשראי של הקורבנות חשופים לשימוש לרעה. בעת כתיבת מאמר זה, PayPal לא דיווחה על פעילות חשודה בחשבון המשתמשים לבדיקת תכונות האפליקציה הזדוניות. עם זאת מציעה החברה למשתמשים לוודא כי לא נעשה שימוש בחשבונות שלהם.

youtube 5

אישור פרטי ה-PayPal במסך האימות

you

הודעת השגיאה כפי שהיא מופיעה לאחר הזנת הפרטים

כיצד תגוננו?
אם הורדתם את Boost Views וניסיתם למשוך כספים דרך PayPal אנו ממליצים לכם לשנות את סיסמת PayPal שלכם מיד. בדקו את החשבון שלכם ואם זיהיתם פעילות חשודה דווחו על כך ל- PayPal. מומלץ גם להסיר את ההתקנה של האפליקציה הזדונית, שנמצאת תחת הגדרות > מנהל יישומים / אפליקציות > 'Boost Views'.
באופן כללי על מנת להימנע מליפול קורבן לאפליקציות זדוניות של Android יש כמה עקרונות שיש להיצמד אליהם בעת התקנת אפליקציות במכשיר שלכם:
במידת האפשר, תמיד תעדיפו להוריד אפליקציות מחנויות אפליקציות רשמיות על פני מקורות לא ידועים. אמנם כפי שאנחנו רואים Google Play לא מושלם, עם זאת עדיין עושה שימוש מנגנוני אבטחה מתקדמים כדי לשמור על אפליקציות זדוניות מחוץ לחנות.
נקטו משנה זהירות בעת הורדת אפליקציות של צד שלישי, המציעות פונקציות נוספות ליישומים קיימים, שכן ייתכן שיש קאטצ' במבצעים אטרקטיביים אלה. בעיקר הימנעו ממתן פרטים רגישים המוצבים כתנאי לשימוש באפליקציות צד שלישי.
בכדי לבדוק אם יש לבטוח באפליקציה, בדקו את הפופולריות של האפליקציה במספר ההתקנות, הדירוגים, והכי חשוב, תוכן הביקורות. במקרה של ספק, בחרו באפליקציות באיכות גבוהה המסומנות כ'מפתחים מובילים' או בקטגוריה 'בחירת עורך'.
אחרון אך לא פחות חשוב, השתמשו בפתרון אבטחה מכובד כדי להגן על המכשיר מפני איומים כמו זה שהזכרנו כאן.

לקראת כנס המובייל העולמי כמדי שנה אנחנו מפרסמים דו"ח נוזקות הכופר למערכות אנדרואיד – מה היו נוזקות הכופר הבולטות לאנדרואיד השנה, האם הן צפויות להיעלם מן העולם והכי חשוב איך מתגוננים?

2017 הייתה ללא ספק שנת הכופר עם מתקפות כלל עולמיות כמו Petya ו-WannaCry שנזקם הוערך במילארדים. אבל לא רק מחשבים הותקפו בתוכנות כופר השנה, גם מערכות אנדרואיד היו מטרה של פושעי הסייבר מתוך ההבנה שיותר ויותר גולשים באינטרנט משתמשים בסמארטפונים וטאבלטים, ופחות במחשבים אישיים ולפטופים.

כמו בכל שנה, לקראת כנס המובייל העולמי שייערך בברצלונה בסוף החודש, חברת ESET מפרסמת את הדו"ח השנתי לנוזקות כופר לאנדרואיד. הדו"ח כולל סטטיסטיקות שנאספו במהלך השנה האחרונה של זיהויים, נוזקות כופר חדשות שהתגלו השנה ואת האבולוציה של תחום הכופר לאנדרואיד במהלך השנים החל מראשיתו ב2013.

נוזקת כופר, כפי שאתם כבר יודעים, היא תוכנה זדונית הדורשת כסף מהקורבן על מנת "לשחרר" את המידע או הגישה שנלקחו ממנו. כאשר מדובר בנוזקות כופר לאנדרואיד קיימות שלוש קטגוריות; נוזקה שנועלת את המסך, נוזקה שמשנה את קוד הנעילה של המכשיר ונוזקה שמצפינה את הקבצים במכשיר. כאשר מדובר בנוזקות שנועלות את המכשיר הכופר הנדרש הוא על מנת לפתוח את הגישה למכשיר עצמו בעוד בנוזקות שמצפינות את הקבצים הסכום הנדרש הוא עבור הגישה למידע שהוצפן. 

הנוזקות הבולטות ב2017

בשנה החולפת ראינו שיטות חדשות כמו שימוש בשירותי הנגישות של אנדרואיד שאמורים לסייע לבעלי מוגבלויות אבל בעצם עזרו לפושעי הסייבר לשתול נוזקות כופר במכשירי הקורבנות. בנוסף הצליחו עברייני הרשת ליצור נוזקות שיעלו את הסיכוי שלהם לקבל את הכופר הנדרש. דוגמא בולטת ליישום אותן שיטות הייתה נוזקת DoubleLocker שזוהתה לקראת סוף 2017 ולראשונה הצליחה לבצע נעילה כפולה, גם הצפינה את הקבצים וגם שינתה את קוד הנעילה של מכשיר האנדרואיד.

עוד נוזקה שזוהתה במהלך 2017 היא Charger, סוס טרויאני הנשלט מרחוק עם יכולות לנעילת מכשירים. הנוזקה הושתלה בחנות האפליקציות הרשמית של גוגל כאפליקציה שאמורה לחסוך בצריכת הסוללה של מכשיר הטלפון. בפועל מי שהוריד את האפליקציה אפשר לתוקפים לנעול את המכשיר ונדרש לשלם סכום של 0.2 ביטקוין.

ב-2016 התקפות הכופר לאנדרואיד הגיעו לשיא עם 50% יותר מהשנה שקדמה לה. מתוך המחקר עולה כי במהלך 2017 נראה שאיום זה עדיין במגמת עליה אך מתונה יותר. חוקרי האבטחה שלנו משערים כי גם בשנה הבאה נמשיך לצפות בנוזקות כופר שישתמשו בשיטות חדשות על מנת להפיל אותנו בפח. אך אל דאגה במידה ונקפיד על צעדי מניעה אין סיבה שניפול קורבן למתקפות אלו. 

Android Ransomware 2017

 

כך תגנו על מכשירי האנדרואיד שלכם מפני נוזקות כופר

  • השתדלו להימנע מהורדת אפליקציות מחנויות לא רשמיות, שימו לב גם כאשר אתם מורידים מחנויות רשמיות לביקורת הגולשים ולדירוג האפליקציה לפני שתתקינו אותה. 
  • התקינו על המכשיר אפלקציית אבטחה אמינה, אנחנו מציעים את ESET Mobile Security, חשוב מאוד לוודא שהיא מעודכנת על אף שהיא מבצעת עדכונים באופן אוטומטי.
  • גבו תמיד את הנתונים החשובים לכם שנמצאים על המכשיר, בין אם זה תמונות, סרטונים, אנשי הקשר שלכם או כל דבר אחר שיקר לליבכם.

במידה ותקפידו לבצע את הפעולות הללו, אין סיבה לחשוש כי רוב הסיכויים שלא תתקלו בתוכנת כופר במכשיר שלכם. גם אם כן עצם גיבוי הנתונים נותן לכם יתרון על פושעי הסייבר ומתקפה כזו אומנם תהיה מאוד מעצבנת אבל לא תהווה איום של ממש על המידע שלכם.  

שוב, אפליקציה זדונית מסתננת לחנות האפליקציות של גוגל במסווה של אפליקציות פופולאריות. הפעם זו אפליקציה שדוחפת לכם פרסומות טורדניות. איך תיפטרו ממנה?
אחת מהדרכים השכיחות ביותר להפיץ תוכנות זדוניות לסמארטפונים בעלי מערכת ההפעלה אנדרואיד, היא באמצעות הסוואתן לאפליקציות פופולאריות לגיטימיות. רק לאחרונה חשפנו כמה אפליקציות זדוניות כאלה, כמו למשל האיום שהתחזה לאפליקציית הליפסינג פופולארית Dubsmash והצליח להדביק עשרות אלפי משתמשים.

במטרה להפוך את ה Google Play למקום בטוח יותר עבור משתמשי אנדרואיד, אנשי מעבדת הווירוסים של ESET מפקחים מקרוב על חנות האפליקציות של גוגל ומחפשים אפליקציות שעלולות להיות מסוכנות.

כעת, אנחנו חושפים איום נוסף ב Google Play, שעד לחשיפתו הצליח להדביק יותר מ 200 אלף משתמשים. הפעם האפליקציה הזדונית ניצלה את הפופולאריות האדירה של אפליקציות המשחק Pou ו- Subway Surfers, שלכל אחת מהן כמה מאות מיליוני הורדות. האפליקציות התחזו לצ'יטים, שמספקים למשתמשים "קיצורי דרך" במשחקים הפופולאריים, אך באותו זמן גם גרמו להופעת פרסומות טורדניות במרווחי זמן קבועים.

post 183 1

למרות שהצגת פרסומות כשלעצמה היא לא מחזה נדיר או חריג בפלטפורמת האנדרואיד, אפליקציית ה AdDisplay הזדונית משכה את תשומת ליבנו בגלל כמה מאפיינים חשודים בדפוס הפעולה שלה. היא כללה אמצעים מיוחדים להגנה עצמית, ולא רק במטרה להפוך את הסרתה לקשה יותר, אלא גם כדי לאפשר לה להתחמק ממנגנון זיהוי האפליקציות הזדוניות של גוגל עצמה - ה- Google Bouncer.

post 183 2

כמה מהפרסמות שהוצגו על ידי האפליקציה AdDisply

בעקבות חשיפת האיום על ידי אנשי מעבדת הווירוסים שלנו, הסירה גוגל את האפליקציות הבעייתיות מחנות האפליקציות.

כיצד מסירים את ה AdDisplay

כפי שצוין קודם לכן, האפליקציה AdDisplay משתמשת בטכניקות של הגנה עצמית במטרה להפוך את הסרתה לקשה יותר. אחת מהטכניקות הללו היא לתת לאפליקציה הרשאות אדמיניסטרטור בעת ההתקנה, וכדי שיהיה ניתן להסיר אותה, צריך קודם כל לשלול ממנה את ההרשאות.

אם אתם משתמשים באפליקציית האבטחה שלנו, ESET Mobile Security, תוכלו להיעזר בה על מנת להסיר את האפליקציה. לשם כך עליכם לוודא שמנגנון הזיהוי של אפליקציות לא רצויות (Potentially Unwanted Application) מופעל. כדי לעשות זאת, פתחו את האפליקציה, לחצו על אנטי וירוס, כנסו להגדרות מתקדמות, העבירו את הבורר מול "אתר אפליקציות שעלולות להיות לא רצויות" למופעל על ידי הסתת הבורר ימינה.

post 183 3

אם אין לכם תוכנת הגנה על המכשיר, תוכלו להסיר את האפליקציה ידנית. ניתן ליישם את השיטה הזו לא רק על האפליקציה הספציפית הזו, אלא על כל אפליקציה חשודה, שאינה אפליקציית מערכת.

בתפריט ההגדרות הכלליות של המכשיר כנסו להגדרות האבטחה, מצאו את Phone/Device Administrator. לחיצה אחת תפתח לכם את רשימת האפליקציות להן יש הרשאות אדמיניסטרטור למכשיר. כדי להסיר את ההרשאות לחצו על האפליקציה ואז לחצו על "נטרל".

post 183 4

לחץ להגדלה

לאחר הסרת הרשאות האדמיניסטרטור, ניתן להסיר את האפליקציות באופן הרגיל במנהל האפליקציות של המכשיר.

לסיכום

לאחרונה נתקלנו בהרבה אפליקציות זדוניות לאנדרואיד שהיו הרבה יותר מסוכנות מהאפליקציה AdDisplay. אבל, ויש פה "אבל" גדול, עצם היכולת שלה להתחמק מזיהוי על ידי גוגל, העובדה שהיא מצליחה להשיג הרשאות אדמיניסטרטור למכשיר שלכם והקלות בה היא מציגה לכם פרסומות (שעלולות להוביל אתכם להתקנה של אפליקציות זדוניות נוספות) נותנות לה פוטנציאל של אפליקציה זדונית מסוכנת באמת.

כדי להימנע מהאיומים האלה, הקפידו על התקנת אפליקציות מהימנות, קראו את הביקורות והמלצות הגולשים שכבר התקינו את האפליקציה והתקינו אפליקציית אבטחה על מכשיר האנדרואיד שלכם.

אמש (יום ג') דיווח מטה הסייבר הלאומי על פריצה לחשבונות וואטסאפ פרטיים של ישראלים. ככל הנראה נוצלה שיטה להשתלטות על חשבונות וואטסאפ באמצעות פריצה למשיבון הסלולרי של הלקוח שדווחה בישראל כבר לפני שנה. ניצול התא הקולי יכול לאפשר פריצה לחשבונות נוספים.

מדובר בפריצה לחשבונות וואטסאפ דרך התא הקולי של המשתמש. התוקפים בעצם מנצלים את האפשרות להעביר את חשבון הוואטסאפ, שדורשת הקלדה של סיסמה שמתקבלת ב SMS. אם מציינים שההודעה לא התקבלה, ניתן לקבל את הסיסמה גם באמצעות הודעה קולית שבה מושמעת סיסמה חד פעמית.

מאותו הרגע שהתוקף מעביר את החשבון לשליטתו, לא ניתן להעביר אותו בחזרה משום שהבעלים ה"חוקי" של חשבון הוואטסאפ יידרש להקליד את אותה הסיסמה החד פעמית כדי להעביר את החשבון, וכמובן שהתוקף לא יאפשר גישה לתא הקולי שלו. האפשרות היחידה תהיה לפנות לתמיכה של וואטסאפ.

איך זה עובד?

לכל מי שיש טלפון סלולרי שמשויך לחברת סלולר ישראלית יש גם תא קולי, גם אם לא ביקש אותו. קיימת אפשרות לגשת לתא הקולי מהטלפון שמשויך אליו, וגם מטלפונים אחרים כברירת מחדל. בנוסף לכך מוגדרת תמיד סיסמת ברירת מחדל שהיא בדרך כלל 0000 או 1234 או 1111. כך ניתן להתקשר לטלפון ולבדוק אם יש לו מענה קולי באמצעות חיוג לכוכבית 151 ואז מספר הטלפון.

לאחר מכן מתזמנים את ההתקפה לשעה שבה הקורבן יהיה לא זמין בסבירות גבוהה, כמו באמצע הלילה.

לאחר שהקורבן לא עונה ומוקלטת ההודעה הקולית עם הסיסמה החד פעמית, התוקף מיד משתמש בה כדי להעביר את החשבון וואטסאפ לשליטתו.

אמיר כרמי, מנהל הטכנולוגיות שלנו מסביר כי "חשוב להבין שהניצול של התא הקולי לצורך חטיפת חשבונות יכול להתבצע לא רק בהקשר של וואטסאפ. ניתן להשתמש בשיטה זהה כדי לחטוף חשבונות של גוגל, מיקרוסופט, אפל ו- Paypal".

איך מתגוננים?

ניתן לשנות את הסיסמה או להגדיר מול חברת הסלולר שלא יהיה ניתן לגשת לתא הקולי ממספר טלפון אחר.

אבל מומלץ לבטל לחלוטין את התיבה הקולית מול חברת הסלולר, במיוחד כאשר מדובר בשירות שרובנו לא משתמשים בו.

עוד מוסיף כרמי "הסיבה שמומלץ לבטל אותו לחלוטין היא שבכנס אבטחת המידע DEF CON שנערך בחודש אוגוסט האחרון, הציג חוקר אבטחת מידע בשם מרטין ויגו כלי שמאפשר פריצה של סיסמה לתא הקולי באופן אוטומטי. הכלי זמין לציבור הרחב מאז אוגוסט וכל אדם בעל ידע בסיסי יחסית במחשבים יוכל להשתמש בו כדי לפרוץ סיסמא של תא קולי, גם אם הוחלפה סיסמת ברירת המחדל."

כדי לאבטח את וואטסאפ טוב יותר מחטיפת החשבון, ניתן להגדיר אימות דו שלבי שידרוש הקלדה של סיסמה בת 6 ספרות בכל שינוי שמתבצע בחשבון הוואטסאפ. כדי להפעיל את האפשרות לאימות דו-שלבי באפליקציית ה-Whatsapp. בחרו בתפריט הגדרות> חשבון> אימות דו-שלבי. בנוסף תידרש כתובת אימייל בתור גיבוי למקרה שהמשתמש שכח את הסיסמה.

הפרצה מאפשרת להאקרים להדביק את המכשיר בווירוסים או להתקין עליו אפליקציות זדוניות ללא ידיעת המשתמש.

למרות ניסיונותיהם הכנים של מפתחי האפליקציות ליצור אפליקציות בטוחות ככל האפשר, פרצות אבטחה באפליקציות ותוכנות פופולאריות ממשיכות להתגלות כל הזמן. ברוב המקרים, פרצות האבטחה שמתגלות הן יחסית שוליות והמפתחים מתקנים אותם במהירות, אבל מפעם לפעם מתגלות פרצות שהן באמת מסוכנות.

דוגמה לפרצת אבטחה מסוכנת היא זו שנחשפה בשבוע בעבר באפליקציית הדפדפן כרום לאנדרואיד. למה היא נחשבת מסוכנת? ראשית אפליקציית כרום לאנדרואיד מותקנת על קרוב ל- 4 מיליון מכשירים, מה שהופך את פוטנציאל ההדבקה לגדול מאוד. שנית, הפרצה מאפשרת להאקרים לנצל את רכיב הג'אווה של האפליקציה כדי להדביק את מכשיר האנדרואיד שלכם בווירוס באמצעות אתרי אינטרנט זדוניים.

בנוסף, הפרצה שנתגלתה מאפשרת להאקר להתקין לכם אפליקציות שונות על המכשיר מבלי שבכלל תהיו מודעים לכך. במילים אחרות, מי שידע לנצל את הפרצה יוכל להתקין על המכשיר שלכם כל אפליקציה שהוא ירצה. לדוגמה - אפליקציות ריגול זדוניות שיתעדו את הודעות הוואטסאפ או ה SMS שלכם, שיקליטו את שיחות הטלפון שלכם, יעתיקו את רשימת אנשי הקשר שלכם, יקראו את הדואר האלקטרוני שלכם ... הבנתם את הנקודה.

החדשות הטובות

החדשות הטובות הן שהפרצה עדיין לא מנוצלת על ידי האקרים "בשטח". היא נחשפה בשבוע שעבר ע ידי חוקר אבטחה יפני בשם גואנג גונג, שדאג לעדכן את גוגל בממצאים וזו צפויה לפרסם עדכון שיחסום את הפרצה בימים או בשבועות הקרובים.

איך תוכלו להגן על האנדרואיד שלכם?

אל תתעלמו מעדכונים – מכיוון שרוב הסיכויים שפרצת האבטחה עדיין אינה מנוצלת על ידי האקרים בפועל, וסביר להניח שגוגל יפיצו עדכון לאפליקציה לפני שניתן יהיה לנצל אותה בצורה נרחבת, אין צורך בשלב זה להסיר את אפליקציית הכרום מהמכשיר שלכם. עם זאת, אל תתעלמו מעדכונים לאפליקציית הכרום אם קיבלתם כאלה.

ניתן גם לבדוק באופן יזום אם קיימים עדכונים עבור הדפדפן המותקן במכשיר שלכם. פשוט כנסו לעמוד האפליקציה בחנות ה- Google Play ובדקו אם מתחת לשם האפליקציה מופיע כפתור ירוק עליו כתוב Update. אם כן, פשוט לחצו על ה Update להתקנת העדכון.

שימו לב לקישורים מפוקפקים – לחיצה על קישורים ממקורות מפוקפקים הוא אף פעם לא מומלץ, על אחת כמה וכמה כשישנה פרצה ידועה שטרם תוקנה. הפרצה תוכל להדביק את המכשיר שלכם בווירוס רק אם תיכנסו לאתר נגוע, והדרך של ההאקרים למשוך אתכם לאתר הנגוע הוא באמצעות קישורים מפוקפקים בהודעות דואר אלקטרוני וברשתות החברתיות, לכן הישארו ערניים וחישבו לפני שאתם לוחצים.

התקינו אפליקציית אבטחה – למרות שהאקרים משתמשים בפרצות אבטחה על מנת לעקוף את אמצעי האבטחה בהם אתם משתמשים, אפליקציית אבטחה תוכל לזהות אם וירוס או אפליקציה זדונית חדרו למערכת או אם קיימת התנהגות חשודה כלשהי במכשיר.

אל דאגה, אין צורך יותר לחשוש כי אפליקציית פוקימון גו תקרא את המיילים שלכם כי חברת ניאניק המפתחת את התוכנה ערכה עדכון למשתמשי התוכנה ב-ios כדי להבטיח שבאופן וודאי האפליקציה לא תבקש הרשאות לחשבון הגוגל של השחקן. אמש פורסם כי חוקר אבטחה ששמו אדם ריב זיהה שהאפליקציה מבקשת הרשאות מאנשים שמתחברים באמצעות חשבון הגוגל, כאלה שיכולות לפגוע באופן משמעותי בפרטיות. האפליקציה יכלה לקרוא מיילים, לשלוח מיילים בשם המשתמש, וגם לקבל גישה מלאה לכל המסמכים בגוגל דוקס ולתמונות פרטיות שיושבות בשירות של גוגל. כן גם האפליקציה קיבלה גישה להיסטוריית הגלישה של השחקן. בנוסף לכל בעיות הפרטיות הללו, אם האקרים פורצים לאפליקציה במצב עניינים שכזה הם יכולים לקבל גישה ישירה לחשבון הגוגל ולכל המידע שיש בו.

חברת ניאנטיק מיהרה לצאת בתגובה כי היא תתקן את בקשת ההרשאות של האפליקציה והנה כבר היום ניתן לבצע עדכון לאפליקציה שבו יוסרו כולן. העדכון כולל מספר שיפורים נוספים ותיקוני באגים, מלבד להקטנת היקף הגישה שיש למשחק לחשבון הגוגל האישי של המשתמשים.
"בתקופה האחרונה אנחנו שומעים על המון מקרים שבהם אפליקציות מבקשות הרשאות שהן לא אמורות לבקש", אומר גיל נוילנדר מנכ"ל ESET ישראל. "גם אפליקציות לגיטימיות, כמו למשל משחק מוכר ומפורסם כמו גו פוקימון יכולות לעשות זאת. חשוב תמיד לשים לב איזה הרשאות האפליקציה מבקשת.כחלק מתהליך הרכישה או התקנת האפליקציה אתם מתבקשים לקרוא ולאשר את ההרשאות שהאפליקציה מבקשת - אל תדלגו על השלב הזה. אפליקציות להפצת דואר זבל או הונאות אנדרואיד או אייפון אחרות ינסו להשיג גישה לכמות גדולה של מידע רגיש, כמו למשל הודעות ה-SMSשלכם, תעבורת הרשת שלכם ועוד. אם האפליקציה שאתם רוצים להתקין מבקשת גישה למידע רגישאו לאפשרויות כמו 'ביצוע שיחות' או 'דואל אלקטרוני' ובסך הכל מדובר במשחק, שומר מסך, עורך תמונות או שעון מעורר – אל תתקינו את האפליקציה, קרוב לוודאי שמדובר באפליקציה זדונית. אמנם פוקימון גו אינה אפליקציה זדונית אבל במקרה הזה מומלץ היה למשתמשים לגשת לאחר ההורדה להגדרות המכשיר, לחפש את האפליקציה ולהסיר את כל ההרשאות באופן ידני. כרגע מומלץ לבצע את העדכון שלה".

הונאת פישינג חדשה מופצת בימים האחרונים באמצעות הדואר האלקטרוני. הפעם היעד של המתקפה הוא משתמשי אפל ובניגוד למתקפות פישינג קודמות, ההודעה החדשה משתמשת בשפה רהוטה ובתמונות באיכות גבוהה, אשר גורמות לה להיראות אמינה ביותר.

כך זה עובד: הקורבן המיועד מקבל הודעת דואר אלקטרוני המגיעה כביכול מחברת אפל, הטוענת בפניו שעקב מחסור בפרטים, אפל נאלצת להציב הגבלות על החשבון שלו, ושהגבלות אלו יהיו בתוקף עד שהפרטים יעודכנו. זוהי לשון ההודעה:

"ייתכן שהבחנת בכך שקיימות מספר הגבלות על חשבון שלך. זהו חלק מהליך האבטחה שלנו שמטרתו היא לוודא שאנחנו ממשיכים לספק דרך בטוחה יותר לקניה ולמכירה ברשת. במרבית המקרים כל שנדרש הוא מעט יותר אינפורמציה בנוגע אליך".

בהמשך ההודעה הגולשים מתבקשים ללחוץ על קישור שיעביר אותם לטופס בו הם יוכלו לעדכן את הפרטים שלהם, כדי שניתן יהיה להסיר את ההגבלות מהחשבון. לחיצה על אותו קישור מעבירה את הגולש לאתר מתחזה, בו הגולש נדרש לעבור מספר שלבים של "עדכון פרטים".


apple

הודעת הפישינג. צילום מסך Soft Pedia.

בשלב הראשון הגולש נדרש לספק את מספר ה- Apple ID והסיסמה שלו, בשלב הבא הוא נדרש לספק פרטים אישיים, כולל כתובת המגורים שלו ובשלב האחרון הוא מתבקש לעדכן את "אמצעי התשלום", כלומר, מספר כרטיס האשראי שלו כולל פרטים כמו תוקף, שלושת הספרות בגב הכרטיס ועוד.

הטפסים אותם נדרש הגולש למלא נראים טוב מאוד ביחס למה שאנחנו מכירים מהונאות פישינג קודמות, דבר שעלול לגרום למשתמשים לא להבחין בכך שמדובר בהונאה.

שלושה כללים פשוטים שישמרו עליכם מפישינג:

1. אף פעם אל תלחצו על קישורים בהודעות דואר אלקטרוני, במיוחד אם אינכם בטוחים ב- 100% מי שלח אותן.

2. כאשר מדובר בהודעת דואר אלקטרוני מחברה מוכרת כמו אפל, עדיף ללכת על בטוח וליצור קשר עם שירות הלקוחות של החברה על מנת לוודא אם אכן ההודעה נשלחה מטעמם. לחילופין, תוכלו פשוט להתחבר לחשבון שלכם מהדפדפן (בניגוד לשימוש בקישור בהודעה) ולבדוק האם ישנן התראות כלשהן או נושאים שבהם עליכם לטפל.

3. הקפידו לבצע עדכונים למערכת ההפעלה, הדפדפן ותוכנת האבטחה שלכם. בהרבה מאוד מקרים, תוכנות מעודכנות ימנעו מכם להיכנס לאתרי פישינג, אפילו אם לחצתם על הקישור.

 

הטרויאני שתוקף מכשירי אנדרואיד וגונב פרטי כניסה לחשבונות בנק, עליו דיווחנו לראשונה בתחילת השנה, מצא את דרכו חזרה לחנות Google Play, בצורה חמקנית יותר מאי פעם.

הכירו את BankBot: סוס טרויאני שדולה פרטי כניסה לחשבונות בנק שהתפתח לאורך השנה, והופיע מחדש בגרסאות שונות בתוך החנות של Google Play ומחוצה לה. הגרסה שזיהינו ב-Google Play בתאריך 04.09.2017 היא הראשונה מבין כולן ששילבה בהצלחה את הצעדים האחרונים באבולוציה של BankBot: טשטוש משופר של הקוד, פונקציונאליות מתוחכמת של הפעולה הזדונית במכשיר, ומנגנון הדבקה ערמומי שמנצל לרעה את שירותי הנגישות (Accessibility Service) של מערכת האנדרואיד.

שימוש לרעה בשירות הנגישות של מערכת האנדרואיד נצפה בעבר במספר טרויאנים שונים, רובם מחוץ לחנות Google Play. ניתוחים שבוצעו לאחרונה ע"י SfyLabs ו-Zscaler אישרו את ההשערה שהנוכלים אשר מפיצים את וירוס ה-BankBot הצליחו להעלות ל-Google Play אפליקציה עם פונקציונליות שמנצלת את שירות הנגישות, אך ללא מטען של תוכנה זדונית לדליית פרטי בנק.

הגרסה הנוכחית, כוללת מטען של נוזקה השואבת את פרטי הכניסה לחשבונות הבנק של הקורבן, הצליח להתגנב אל תוך Google Play במסווה של משחק בשם Jewels Star Classic (חשוב לציין שהתוקפים עשו שימוש לרעה בשמה של סדרת משחקים פופולרית ולגיטימית בשם Jewels Star, מבית מפתחת המשחקים ITREEGAMER, ואין קשר בין מפתחת המשחקים לבין קמפיין זדוני זה).

הודענו לצוות האבטחה של Google על האפליקציה הזדונית, שהותקנה על ידי קרוב ל-5,000 משתמשים לפני הסרתה מהחנות.

איך זה עובד?

ברגע שהמשתמש התמים מוריד את המשחק Jewels Star Classic של מפתחת המשחקים GameDevTony (תמונה 1), הוא מקבל משחק אנדרואיד כמו כל משחק, אך עם כמה תוספים חבויים – מטען של תוכנה זדונית לבנקאות שאורב בתוך משאבי המשחק, ושירות זדוני שממתין להפעלה לאחר עיכוב קבוע מראש.

BankBot 1

תמונה 1 – האפליקציה הזדונית כפי שהתגלתה ב-Google Play

השירות הזדוני מופעל 20 דקות לאחר ההפעלה הראשונית של Jewels Star Classic. המכשיר הנגוע מציג התראה שמבקשת מהמשתמש לאפשר דבר הנקרא "Google Service" (הערה: ההתראה הזדונית מופיעה ללא קשר לפעילותו של המשתמש באותו רגע, וללא קשר גלוי למשחק).

לאחר הלחיצה על מקש האישור, שהיא הדרך היחידה להעלים את ההתראה, המשתמש מועבר לתפריט הנגישות של האנדרואיד, שבו מנוהלים שירותים הכוללים אפשרויות נגישות. בקרב מספר שירותים לגיטימיים, מופיע שירות חדש בשם "Google Service", שנוצר על ידי התוכנה הזדונית. לחיצה על השירות מציגה תיאור שנלקח מתנאי השירות המקוריים של Google.

BankBot 2

תמונה 2 – התראה שמבקשת מהמשתמש לאפשר את השירות "Google Service"

BankBot 3

תמונה 3 – השירות "Google Service" מופיע בקרב שירותי נגישות אנדרואיד

BankBot 4

תמונה 4 – תיאור לשירות הזדוני שנלקח מתנאי השירות של Google

ברגע שהמשתמש מחליט להפעיל את השירות, תוצג בפניו רשימה של הרשאות נדרשות: לצפות בפעולות שלך, לאחזר תוכן חלונות, להפעיל חיפוש בעזרת מגע, להפעיל נגישות רשת משופרת ולבצע מחוות (תמונה 5).

לחיצה על אישור מעניקה את הרשאות הנגישות לשירות הנגישות של התכונה הזדונית. בהענקת הרשאות אלה, המשתמש נותן לתוכנית הזדונית יד חופשיה - פשוטו כמשמעו – לבצע כל משימה שתצטרך על מנת להמשיך את פעילויותיה הזדוניות.

BankBot 5

תמונה 5 – הרשאות שנדרשות להפעלת "Google Service"

בפועל, לאחר אישור ההרשאות, המשתמש מאבד גישה למסך שלו לזמן קצר עקב "עדכון של Google Service" – מיותר לציין, לא עדכון של Google – שרץ ברקע (תמונה 6).

BankBot 6

תמונה 6 – מסך שמחביא פעילות זדונית

התוכנה הזדונית משתמשת במסך זה על מנת להחביא את הצעדים הבאים שלה – ללחוץ מטעם המשתמש בעזרת הרשאות הנגישות שהושגו קודם לכן. בזמן שהמשתמש ממתין לטעינת העדכון הפיקטיבי, התוכנה הזדונית מבצעת את המשימות הבאות:

  •  מאפשרת התקנה של אפליקציות ממקורות לא ידועים
  • מתקינה את BankBot מהנכסים (assets) ומפעילה אותו
  • מפעילה הגדרת מנהל מכשיר עבור BankBot
  • מגדירה את BankBot בתור אפליקציית המסרונים ברירת המחדל
  • משיגה הרשאה להופיע מעל אפליקציות אחרות

לאחר הביצוע המוצלח של משימות אלה, התוכנה הזדונית יכולה להתחיל לעבוד על היעד הבא שלה: גניבת פרטי כרטיס האשראי של הקורבן. בניגוד לגרסאות אחרות של BankBot, בהן הטרויאני מתמקד על רשימה נרחבת של אפליקציות בנק מסוימות ומחקה את טפסי ההתחברות שלהן על מנת לאסוף את פרטי ההתחברות שהוזנו, גרסה זו מתמקדת על Google Play באופן בלעדי – אפליקציה שכל משתמש אנדרואיד התקין מראש במכשירו.

ברגע שהמשתמש מפעיל את האפליקציה של Google Play, ה-BankBot מצטרף ומופיע מעל האפליקציה הלגיטימית עם טופס מזויף שמבקש את פרטי כרטיס האשראי של המשתמש המבקש (תמונה 7).

BankBot 7

תמונה 7 – טופס מזויף שמבקש את פרטי כרטיס האשראי של המשתמש

במידה והמשתמש נופל בפח ומזין את פרטי כרטיס האשראי שלו בטופס המזויף, התוקפים ניצחו למעשה. עקב העובדה ש-BankBot הגדיר את עצמו בתור אפליקציית המסרונים ברירת המחדל, ביכולתו לשבש את כל תקשורת המסרונים שעוברת במכשיר הנגוע. זה מאפשר לתוקפים לעקוף אימות דו-שלבי מבוסס-מסרונים בחשבון הבנק של הקורבן – המכשול הפוטנציאלי האחרון בינם לבין כספו של הקורבן.

מה הופך אותו למסוכן כל כך?

בקמפיין זה, הנוכלים הרכיבו ערכה של טכניקות שהפכו יותר ויותר פופולריות בקרב מפתחי התוכנות הזדוניות לאנדרואיד – ניצול לרעה של שירות הנגישות של מערכת האנדרואיד, התחזות ל-Google, וקביעת מד-זמן אשר מעכב את תחילת הפעילות הזדונית על מנת להתחמק מאמצעי האבטחה של Google.

ביחד, הטכניקות מקשות על הקורבן לזהות את האיום בזמן. מכיוון שהתוכנה הזדונית מתחזה ל-Google וממתינה 20 דקות לפני הצגת ההתראה הראשונה, לקורבן יש סיכוי קטן מאוד לחבר בין הפעילות שלו לבין אפליקציית Jewel Star Classic שאותו הוריד לאחרונה. מעבר לכך, השמות השונים והרבים שבהם משתמשת התוכנה הזדונית לאורך תהליך הזיהום מסבכים במידה משמעותית את המאמצים לאתר ולהסיר אותה ידנית.

כיצד ניתן לנקות את המכשיר הנגוע?

במידה ואתם מורידים אפליקציות שונות ורבות מחנות האפליקציות Google Play וממקומות אחרים, ייתכן ותרצו לבדוק שלא הושטתם את ידכם אל התוכנה הזדונית הזאת.
בדיקה שהמשחק Jewels Star Classic אינו קיים במכשיר איננה בדיקה מספקת, מכיוון שהתוקפים משנים לעיתים קרובות את האפליקציות שמנוצלות לרעה לטובת ההפצה של BankBot. על מנת לבדוק אם המכשיר שלכם נפגע, אנחנו ממליצים לבדוק את הסמנים הבאים:

  • נוכחותה של אפליקציה בשם "Google Update" (מופיעה בתמונה 8 ונמצאת תחת Settings > Application manager/Apps > Google Update)
  • מנהל מכשיר פעיל בשם "System Update" (מופיע בתמונה 9 ונמצא תחת Settings > Security > Device Administrators).
  • הופעה חוזרת ונשנית של ההתראה "Google Service" (מופיעה בתמונה 2).

BankBot 8

תמונה 8 – האפליקציות הזדוניות במנהל האפליקציות (Application manager)

BankBot 9

תמונה 9 – BankBot מוסווה בתור System update תחת מנהלי מכשיר פעילים

במידה ומצאתם אחד מהסמנים שהוזכרו למעלה, ייתכן והמכשיר שלכם נגוע בגרסה זו של BankBot.
על מנת לנקות את המכשיר שלכם באופן ידני, תצטרכו תחילה להשבית את זכויות מנהל המכשיר עבור "System update", ולאחר מכן להסיר את ההתקנה של "Google Update" והאפליקציה הטרויאנית הנלווית.

עם זאת, מציאת האפליקציה הטרויאנית שהתחילה את הזיהום (במקרה שלנו, Jewels Star Classic) מוכיחה כמשימה בעייתית, עקב העיכוב באורך 20 דקות שנקבע לפעילות הזדונית, וכמו כן עקב העובדה שהאפליקציה עובדת בהתאם לציפיות. על מנת לזהות ולהסיר את האיום, על כל רכיביו, אנחנו ממליצים להשתמש בפתרון אבטחה סלולרית אמין.

מוצרי האבטחה של חברת ESET מזהים וחוסמים גרסה זו של BankBot בתור Android/Spy.Banker.LA.

איך להישאר בטוחים?

מלבד השימוש בפתרון אבטחה אמין למובייל, ישנם דברים אחרים שניתן לעשות כדי לא לפול קורבן לתוכנות זדוניות באנדרואיד:

  • במידת האפשר, יש להעדיף חנויות אפליקציות רשמיות על פני חלופיות. למרות שהיא מלווה בבעיות משלה, Google Play משתמשת במנגנוני אבטחה מתקדמים; זה לאו דווקא המקרה בחנויות חלופיות.
  • במידה ויש ספק לגבי התקנת אפליקציה, בדקו את הפופולריות שלה לפי מספר התקנות, דירוגים ותוכן הביקורות.
  • לאחר שהפעלתם כל אפליקציה שהתקנתם במכשיר הסלולרי שלכם, שימו לב להרשאות שהיא מבקשת מכם. במידה ואפליקציה מבקשת הרשאות פולשניות – על אחת כמה וכמה אם הן קשורות בנגישות – יש לעבור עליהן בקפידה ובזהירות ולהעניק אותן רק במידה ואתם בטוחים לחלוטין באמינותה של האפליקציה.

מהו BankBot?

זוהה לראשונה על ידי חברת ESET בתאריך 26.12.2016, ונותח לראשונה על ידי Dr. Web, BankBot הוא סוס טרויאני שפעיל באנדרואיד וניתן לשליטה מרחוק, וביכולתו לאסוף פרטי בנק בעזרת טפסי התחברות מזויפים במספר אפליקציות, לשבש הודעות טקסט על מנת לעקוף אימות דו-שלבי, ולהציג התראות דחיפה (push notification) לא רצויות.

זמן קצר לאחר גילוי האפליקציות שהפכו לטרויאניות עקב BankBot בחנות האפליקציות Google Play בתחילת 2017, אימתנו שמקורן של האפליקציות הזדוניות הינו בקוד מקור שהפך ציבורי בפורומים מחתרתיים בדצמבר 2016. הזמינות הציבורית של הקוד הובילה לעלייה הן במספר והן בתחכום של סוסים טרויאניים מתחום הבנקאות במכשירים סלולריים.

חוקרי האבטחה של ESET גילו טרויאני חדש לאנדרואיד המשתמש בטכניקה חדשנית שמנצלת לרעה את מאפייני הנגישות של מערכת ההפעלה של אנדרואיד, פוגעת באפליקציה הרשמית של PayPal ומסוגלת לעקוף את מנגנון האימות הדו-שלבי שלה.

הנוזקה, שזוהתה לראשונה בנובמבר 2018, משלבת בין יכולות שליטה מרחוק של נוזקות בנקאות שנשלטות מרחוק ובין דרך חדשנית לניצול שירותי הנגישות של אנדרואיד על מנת לפגוע במשתמשי האפליקציה של PayPal. 

הנוזקה מתחזה לכלי לשיפור חיי הסוללה, והיא מופצת באמצעות חנויות אפליקציות חיצוניות. 

Figure1

האפליקציה המזויפת

איך הנוזקה עובדת? 

לאחר שהנוזקה מופעלת, היא נסגרת מייד מבלי לבצע אף פעולה מועילה ומחביאה את האייקון שלה. מהשלב הזה והלאה ניתן לחלק את פעולותיה לשני חלקים עיקריים.
המטרה הראשונה של נוזקה זו, גניבת כסף מחשבונות ה-PayPal של קורבנותיה, דורשת הפעלה של שירות נגישות זדוני. כפי שניתן לראות בתמונה, הבקשה מוצגת למשתמש כאילו היא מגיע משירות "Enable statistics", ששמו לא מעורר הרבה חשדות

Figure2

הנוזקה מבקשת להפעיל את שירות הנגישות שלה, שמוסווה בשם "Enable statistics"

אם האפליקציה הרשמית של PayPal מותקנת במכשיר, הנוזקה מציגה התראה שמבקשת מהמשתמש להפעיל אותה. לאחר שהמשתמש פותח את האפליקציה ומתחבר לחשבון שלו, שירות הנגישות הזדוני נכנס לפעולה ו"לוחץ" על הכפתורים המתאימים באפליקציה כדי לשלוח כסף לכתובת ה-PayPal של התוקף.

במהלך המחקר, האפליקציה ניסתה להעביר סכום של 1,000 אירו, אך יש לציין שהמטבע והסכום תלויים במיקום הגיאוגרפי של המשתמש. כל התהליך אורך כחמש שניות, ולמשתמש הממוצע שאינו חושד בדבר אין שום אפשרות להתערב בתהליך.

מכיוון שהנוזקה לא מסתמכת על גניבת פרטי גישה לחשבון ה-PayPal, אלא מחכה שהמשתמש יתחבר לאפליקציה הרשמית של PayPal בעצמו, היא עוקפת גם את מנגנון האימות הדו-שלבי של PayPal. משתמשים שהפעילו את מנגנון האימות הדו-שלבי רק יזדקקו לעשות צעד נוסף כדי להתחבר לאפליקציה – כמו שהיו עושים בכל מקרה – אך בסופו של דבר הם חשופים לפגיעה מהטרויאני ממש כמו אלו שלא משתמשים באימות דו-שלבי.

הסרטון הבא מראה כיצד התהליך מתבצע בפועל:

המתקפה תיכשל רק במקרה שהיתרה בחשבון ה-PayPal נמוכה מדי ואין אף כרטיס חיוב שמחובר לחשבון. שירות הנגישות הזדוני מופעל בכל פעם שאפליקציית PayPal מופעלת, מה שאומר שהמתקפה יכולה לקרות מספר פעמים.

התרענו ל-PayPal על הטכניקה הזדונית בה משתמש הטרויאני הזה ועל חשבון ה-PayPal בו משתמש התוקף כדי לקבל את הכסף הגנוב.

מסכי כיסוי

פעולה נוספת של הנוזקה משתמשת במסכי כיסוי (Overlay screens) המוצגים מעל אפליקציות לגיטימיות ספציפיות.

האפליקציה מורידה מסכי כיסוי מבוססי HTML לחמש אפליקציות – Google Play, WhatsApp, Skype, Viber ו-Gmail – אך ניתן לעדכן את הרשימה הראשונית הזאת בכל רגע נתון.

ארבע מתוך חמש מסכי הכיסוי מנסים להשיג בעורמה את פרטי כרטיס האשראי של הקורבן; מסך הכיסוי שמכוון לאפליקציית Gmail מנסה להשיג את פרטי הגישה לחשבון. החשד הוא שקיים קשר בין אופן הפעולה הזה ובין הניסיון לפגיעה בחשבון ה-PayPal, שכן PayPal שולחת התראות באימייל לאחר ביצוע כל העברה. באמצעות גישה לחשבון ה-Gmail של הקורבן, התוקפים יכולים למחוק הודעות מייל כאלה ולהישאר מתחת לרדאר למשך זמן רב יותר. 

Figure3

מסכי כיסוי זדוניים לאפליקציות Google Play, WhatsApp, Skype ו-Viber, שמבקשים את פרטי כרטיס האשראי

Figure4

מסכי כיסוי זדוניים המנסים להשיג את פרטי הגישה לחשבון ה-Gmail

שלא כמו רוב מסכי הכיסוי שמשמשים את מרבית נוזקות הבנקאות לאנדרואיד, המסכים האלה מוצגים כמסכי נעילה - טכניקה שמשמשת גם כופרות אחרות לאנדרואיד. טכניקה זו מונעת מהקורבנות לצאת ממסך הכיסוי באמצעות לחיצה על כפתור החזרה או כפתור הבית. הדרך היחידה לעבור את מסך הכיסוי היא למלא את הטופס המזויף, אך למרבה המזל גם מילוי של פרטים אקראיים או לא-תקינים גורם למסכים האלה להעלם.

מעבר לשתי הפונקציות העיקריות שתוארו, הנוזקה יכולה גם לבצע את הפעולות הבאות, לאחר קבלת פקודה מתאימה משרת השליטה והבקרה שלה:

  • ליירט ולשלוח הודעות SMS; למחוק את כל הודעות ה-SMS; לשנות את אפליקציית ברירת המחדל לקבלת ושליחת הודעות SMS (כדי לעבור את האימות הדו-שלבי שמתבסס על SMS)
  • להשיג את רשימת אנשי הקשר
  • לקיים שיחות ולהעביר שיחות
  • להשיג את רשימת האפליקציות המותקנות
  • להתקין אפליקציה, להפעיל אפליקציה שכבר הותקנה
  • להתחיל תקשורת באמצעות socket

כיצד להישאר בטוחים?

ככל הנראה, אלו שהתקינו את האפליקציה כבר נפגעו מאחת הפונקציות הזדוניות שלה.

אם באמת התקנתם את הטרויאני הזה, אנו ממליצים לבדוק העברות חשודות בחשבונות שלכם ולשקול את שינוי הסיסמה / הקוד הסודי לשירותי הבנקאות שלכם ולחשבון ה-Gmail שלכם. אם ישנה העברה לא מאושרת ב-PayPal, אפשר לדווח על הבעיה של ל-PayPal כאן.

במקרים של מכשירים שהפכו ללא-שמישים בשל מסך נעילה שמוצג ע"י הטרויאני הזה, אנו ממליצים להשתמש במצב הבטוח של אנדרואיד ולהסיר אפליקציה שנקראת "Optimization Android" תחת הגדרות > (כללי) > מנהל האפליקציות / אפליקציות.

כדי להימנע מנוזקות אנדרואיד בעתיד, מומלץ:

  • להוריד אפליקציות רק מחנות האפליקציות הרשמית של Google

  • לבדוק את מספר ההורדות של האפליקציה, הדירוג שלה ותוכן הביקורות שלה לפני שמורידים אפליקציה מחנות האפליקציות של Google

  • לשים לב להרשאות שאתם מעניקים לאפליקציות שאתם מתקינים

  • לעדכן את מכשיר האנדרואיד ולהשתמש בפתרון אבטחה אמין למכשירים ניידים; מוצרי ESET מזהים את האיום הזה בשם Android/Spy.Banker.AJZ

 

חוקרי חברת האבטחה ESET גילו בחנות האפליקציות הרשמית של גוגל אפליקציות מזויפות הגונבות פרטי כניסה לתוכנת סחר במטבעות וירטואליים.

משתמשים של התוכנה Poloniex הפופולרית, המשמשת לסחר במטבעות וירטואליים, נפלו קורבן לשתי אפליקציות לגניבת סיסמאות, שהציגו את עצמן בחנות האפליקציות של Google במסווה של תוכנות סחר לגיטימיות. חוץ מגניבת סיסמאות הגישה ל-Poloniex, הנוכלים שמאחורי התוכנות המזויפות גם ניסו לגרום לקורבנות לתת להם גישה לחשבונות ה-Gmail שלהם.

Poloniex היא אחת מהתוכנות המובילות בעולם לסחר במטבעות וירטואליים, וניתן לסחור בה ביותר מ-100 מטבעות וירטואליים. זה לבד הופך את התוכנה למטרה אטרקטיבית עבור נוכלים מכל הסוגים, אך במקרה זה העבריינים ניצלו את העובדה שלא הייתה אפליקציה רשמית.

בעקבות הרעש שעוררו המטבעות הוירטואליים, פושעי סייבר מנסים לתפוס כל הזדמנות שהם יכולים – בין אם זה ניצול כוח המחשב של המשתמשים כדי לכרות מטבעות וירטואליים דרך דפדפנים או באמצעות הדבקת מחשבים לא מוגנים, ובין אם באמצעות תרמיות שונות המשתמשות באתרי ובאפליקציות פישינג מזויפות.

האפליקציות הזדוניות

האפליקציה הזדונית הראשונה התגנבה לחנות האפליקציות של Google בשם "POLONIEX", תחת מפתח בשם "Poloniex". מה-29 לאוגוסט ועד ה-19 בספטמבר, האפליקציה הותקנה ע"י 5000 משתמשים, זאת למרות דירוגים מעורבים וביקורות לא-מחמיאות.

האפליקציה השנייה, "POLONIEX EXCHANGE" של המפתח "POLONIEX COMPANY", הופיעה בחנות האפליקציות של Google ב-15 לאוקטובר והגיעה ל-500 התקנות לפני שהוסרה מהחנות לאחר הודעה מטעם ESET.

בנוסף על ההודעה לGoogle-, הודיעו חוקרי ESET גם ל-Poloniex על המתחזים הזדוניים.

crypto 1

(1) האפליקציות המזויפות כפי שנראו בחנות האפליקציות של Google

crypto 2 2

(2) ביקורות על אחת האפליקציות בחנות האפליקציות של Google

כיצד הן פועלות?

כדי להשתלט בהצלחה על חשבון Poloniex באמצעות האפליקציה הזדונית, התוקפים צריכים תחילה להשיג את נתוני הגישה לחשבון. לאחר מכן, עליהם להשיג גישה לחשבון הדואר האלקטרוני הקשור לחשבון ה-Poloniex הפרוץ, זאת כדי לשלוט בהתראות בנוגע להתחברויות והעברות לא-מאושרות. לבסוף, על התוקפים לגרום לכך שהאפליקציה שלהם תיראה כאילו היא מתפקדת, כדי לעורר כמה שפחות חשד במהלך התהליך.

שתי האפליקציות משתמשות בשיטה הזו כדי להגיע למטרה זו.

גניבת נתוני הגישה מתרחשת ברגע בו המשתמש מוריד את אחת האפליקציות. התוכנה הזדונית מציגה מסך מזויף בו היא מבקשת את נתוני הגישה ל-Poloniex (תמונה 3). אם המשתמש מזין את פרטי הכניסה ולוחץ על "התחבר", נתוני הגישה נשלחים לתוקף.

במידה והמשתמש לא אפשר את האימות הדו-שלבי (2-factor authentication, 2FA) בחשבון ה-Poloniex שלו, התוקפים יקבלו גישה לחשבון זה. זה אומר שהתוקפים יכולים לבצע העברות בשמו של המשתמש, לשנות את ההגדרות שלו, או אפילו לנעול אותו מחוץ לחשבון באמצעות שינוי הסיסמה שלו.

אם המשתמש כן משתמש באימות דו-שלבי, החשבון שלו מוגן מפני הפולשים. זאת מכיוון ש-Poloniex מציעה למשתמשים אימות דו-שלבי דרך Google Authenticator, שמייצרת סיסמאות כניסה אקראיות שנשלחות למשתמש באמצעות הודעת SMS, שיחה קולית או דרך האפליקציה – כולם מקומות שאינם נגישים לתוקפים.

crypto 3

(3) מסך כניסה מזויף שאוסף נתוני גישה ל-Poloniex

אם הנוכלים הצליחו, הם מתחילים לעבוד על קבלת גישה לחשבון ה-Gmail של המשתמש. המשתמש רואה הודעה, שנראית כאילו היא מטעם Google, המבקשת ממנו להתחבר לחשבון ה-Google שלו "בשביל בדיקת אימות דו-שלבית" (תמונה 4). לאחר שהמשתמש לוחץ על "התחבר", האפליקציה הזדונית מבקשת הרשאה לצפייה בהודעות הדוא"ל של המשתמש, בהגדרותיו ובנתוני פרופיל בסיסיים (תמונה 5). אם המשתמש נותן את ההרשאות, האפליקציה מקבלת גישה לתיבת הדואר הנכנס שלו.

כשיש להם גישה גם לחשבון ה-Poloniex של המשתמש וגם לחשבון ה-Gmail הקשור אליו, התוקפים יכולים לבצע העברות בשמו של המשתמש ולמחוק כל התראה בנוגע לכניסות והעברות לא-מאושרת מתיבת הדואר הנכנס שלהם.

crypto 4

(4) הודעה המתחזה ל-Google ומבקשת מהמשתמש להתחבר ל-Gmail

crypto 5

(5) האפליקציה הזדונית מבקשת גישה לתיבות הדוא"ל

בשלב האחרון האפליקציה מפנה את המשתמש לאתר הבית האמיתי של Poloniex, שם הוא מתבקש להתחבר לחשבון (תמונה 6), במטרה לגרום לאפליקציה להיראות כאילו היא אכן מתפקדת. לאחר שהמשתמש מתחבר הוא יכול להשתמש באתר Poloniex האמיתי. משם והלאה, בכל פעם שהאפליקציה תופעל היא תפתח את אתר Poloniex האמיתי.

crypto 6

(6) הגרסה המובייל של אתר Poloniex האמיתי נפתחת ע"י האפליקציה הזדונית

דרך אחרת בה התוקפים נוקטים כדי להימנע מלהתגלות – ע"י מנתחי בטיחות, במקרה הזה – היא באמצעות מיסוך הכתובות אליהם נשלחים נתוני הגישה הגנובים, באמצעות טריקים של תווי יוניקוד. כתוצאה מכך, הכתובות hxxp://połoniex.com ו- hxxp://poloniėx.com/עשויות להיראות לגיטימיות בעת שסוקרים אותן באופן ידני.

כיצד להתגונן?

אם אתם משתמשים ב-Poloniex והתקנתם את אחת מהאפליקציות הזדוניות האלה, התחילו בהסרה שלהן. אל תשכחו לשנות גם את הסיסמה ל-Poloniex וגם ל-Gmail, ושקלו שימוש באימות דו-שלבי במידה והאפשרות קיימת.

אלו הדברים שאתם יכולים לעשות כדי להימנע מנפילה למלכודותיהם של עברייני רשת בעתיד:

  • וודאו שהשירות בו אתם משתמשים אכן מציע אפליקציה לטלפון הנייד – אם זהו המקרה, האפליקציה אמורה להיות מחוברת לאתר האינטרנט הרשמי של השירות.
  • שימו לב לדירוגי האפליקציה ולביקורות עליה.
  • היזהרו מאפליקציות צד-שלישי שמציגות התראות וחלונות הנראים כאילו הם מקושרים ל-Google – עברייני סייבר מרבים לנצל את האמון שמשתמשים נותנים ב-Google.
  • השתמשו באימות דו-שלבי כשכבת הגנה נוספת (ולעיתים קרובות אף הכרחית).
  • השתמשו בפתרון אבטחה אמין למובייל.

 

המחירים הגבוהים של המטבעות הדיגיטליים והבאז סביבם לא מושכים רק המוני משקיעים פוטנציאליים, אלא גם עברייני סייבר שמחפשים דרכים חדשות ויצירתיות כדי להניח את אצבעותיהם על המטבעות האלה. כמובן, הונאות של מטבעות דיגיטליים אינן רק נחלתם של המחשבים, ותרמיות כאלה כבר החלו להופיע בפלטפורמת האנדרואיד, תוך שימוש במגוון רחב של אפשרויות הסוואה. 

אפליקציות מזויפות לסחר במטבעות דיגיטליים

הסיבה לכך שפלטפורמות הסחר למטבעות דיגיטליים הן יעד אטרקטיבי עבור עברייני הרשת לא נובע רק מהפופולריות שלהן, אלא גם מכך שרבות מהפלטפורמות הללו אינן מציעות אפליקציה לסמארטפון. "שטחי הפקר" שכאלה הם כמו מגנט לרמאים, שלא מתמהמהים ביצירת זיופים כאלה.

במרבית המקרים, המטרה של אפליקציות מזויפות כאלה היא "דיוג" (Phishing) פרטי הכניסה לפלטפורמת הסחר הרשמית. לאחר מכן התוקפים משתמשים בנתוני הגישה האלה כדי להשתלט על החשבונות שנפלו בפח. העבריינים מנסים לעורר כמה שפחות חשדות בכדי לגרום למשתמשים לתת את סיסמאותיהם – במרבית המקרים, השם של מפתח האפליקציה, אייקון האפליקציה וממשק המשתמש מתחזים באופן מדויק לשירות המקורי, ולעיתים גם יש לאפליקציה דירוג גבוה כתוצאה מביקורות מזויפות.

אחת התרמיות מהסוג הזה היא אפליקציית פישינג המתחזה לפלטפורמת הסחר Poloniex. אפליקציות אלה התגלו בחנות Google Play בשנה שעברה וממשיכות לצוץ מדי פעם.

cryptocurrency scams 1

אפליקציות מזויפות של Poloniex בחנות Google Play

אפליקציות מזויפות המתחזות לארנקים דיגיטליים

הונאת פישינג מסוג דומה פוגעת גם באלו המשתמשים בארנקים דיגיטליים, אלא שבמקום להשיג את הסיסמה לפלטפורמת הסחר, התוקפים מחפשים ישירות את המפתחות הפרטיים (private key) של הארנקים. חשבו על זה כך שלכל ארנק יש כתובת פומבית וכתובת פרטית. הכתובת הפומבית כמו הכתובת לבית, יכולה להיות גלויה לכולם אבל רק לכם יש מפתח פרטי שאיתו פותחים את הדלת.

למעשה, זה אומר שהסיכון הניצב בפני משתמשי ארנקים דיגיטליים הוא גבוה יותר – את סיסמת הבורסה הדיגיטלית אולי אפשר לשנות, הודות לכך שהבורסה מחזיקה במפתח הפרטי של המשתמש, אך כשמדובר בארנק, המפתח הפרטי הוא זה שנגנב, ושום דבר לא יוכל להציל את המשתמש שנפגע.

לאחרונה גילו חוקרי ESET התנהגות זדונית מהסוג הזה באפליקציות המחקות את MyEtherWallet, ארנק אתריום (Ethereum) פופולרי הנכתב בקוד פתוח. האפליקציות, שהועלו לחנות Google Play מספר פעמים בחודשים האחרונים, מנסות לגנוב את המפתחות הפרטיים באמצעות טפסי כניסה מזויפים. כמו Poloniex, גם לארנק MyEtherWallet אין אפליקציה רשמית, מה שהופך אותו למטרה פופולרית עבור מתחזים.

cryptocurrency scams 2

האפליקציות המזויפות של MyEtherWallet בחנות Google Play

מלבד אפליקציות פישינג, נמצאו גם ארנקים דיגיטליים מזויפים המנסים לגרום לקורבנות להעביר מטבעות לארנקיהם של התוקפים במרמה. הונאות מהסוג הזה עובדות לפי עיקרון פשוט – הן מראות כאילו הן יוצרות מפתח ציבורי עבור הארנק החדש ומבקשות מהמשתמש לשלוח את המטבעות הדיגיטליים שלו לכתובת שנוצרה. אם המשתמש יקשיב להנחיה זו, הוא יגלה במהרה שהמטבעות ששלח נעלמו.

cryptocurrency scams 3

אפליקציות מזויפות של ארנקי מטבעות דיגיטליים שונים

נוזקות לכריית מטבעות דיגיטליים

הודות לפופולריות ההולכת וגדלה של כריית המטבעות, מספרם של הכורים באמצעות מכשירי אנדרואיד גדל בהתאמה. האם תוכנה לכריית מטבעות דיגיטליים היא בהכרח נוזקה? התשובה לשאלה זו טמונה בהסכמה – האם המשתמשים יודעים שמכשירם משמש לכריית מטבעות דיגיטליים, או שהמכשיר נפרץ ומישהו אחר זוכה בשלל? אם התשובה השנייה היא הנכונה, מדובר בנוזקה לכריית מטבעות.

בזמן האחרון גילינו שאחת הגרסאות של המשחק הפופולרי Bug Smasher, שהורדה בין מיליון ל-5 מיליון פעמים מחנות Google Play, כרתה מטבעות Monero באופן חשאי באמצעות מכשיריהם של המשתמשים.

cryptocurrency scams 4

האפליקציה Bug Smasher עם אפשרות הכרייה הנסתרת

אפליקציות מזויפות לכריית מטבעות ו"מתנות חינם"

סוג נוסף של הונאה בה נתקלו החוקרים הן אפליקציות המתחזות לכאלה הכורות מטבעות דיגיטליים, אך בפעול לא עושות כלום מלבד הצגת פרסומות. חלק מתוכנות הכרייה המזויפות שנותחו ניסו לגרום למשתמשים לתת להם דירוג 5 כוכבים. למרות שהאפליקציות האלה לא נכנסות להגדרה של נוזקות, מתייחסים אליהן כאל אפליקציות לא רצויות בשל האופי המטעה שלהן.

מעניין לראות שחלק מהרמאים העומדים מאחורי תוכנות הכרייה המזויפות אינם מודאגים כלל מכך שהבטחותיהם לא ניתנות למימוש – מלבד אינסוף תוכנות כרייה מזויפות לביטקוין, מצאנו כמה תוכנות המיועדות לכריית המטבע הדיגיטלי (Ripple (RXP, מטבע המוגדר כמטבע ללא אפשרות כרייה.

cryptocurrency scams 5

אפליקציות מזויפות לכריית Ripple בחנות Google Play

כל האפליקציות שהוזכרו מזוהות ונחסמות ע"י המערכות של ESET והורחקו מחנות Google Play. משתמשים שאפשרות Google Play Protect מופעלת אצלם מוגנים ע"י המנגנון הזה.

כיצד אפשר להישאר בטוחים?

הנה כמה צעדים שתוכלו לנקוט כדי לא ליפול להונאות של מטבעות דיגיטליים במכשירי אנדרואיד:

  • התייחסו לאפליקציות הסחר ולארנקי מטבעות דיגיטליים באותו האופן בו אתם מתייחסים לאפליקציות הבנקאות שלכם.
  • לפני שאתם מורידים אפליקציה לסחר במטבעות דיגיטליים או ארנק, וודאו כי לשירות אכן יש אפליקציה למובייל. קישור לאפליקציה צריך להופיע באתר האינטרנט הרשמי של השירות.
  • במידה ויש אפשרות כזו, השתמשו באימות דו-שלבי כדי להגן על חשבונות הסחר או על הארנקים באמצעות שכבת אבטחה נוספת.
  • כשאתם מורידים אפליקציות מחנות Google Play, שימו לב למספר ההורדות וכן לדירוגים ולביקורות של האפליקציה.
  • עדכנו את מכשיר האנדרואיד שלכם והשתמשו בפתרון אבטחה אמין כדי להגן על המכשיר מפני האיומים העכשוויים.

תוכלו לקרוא כאן עוד אודות הונאות מטבעות דיגיטליים במכשירי אנדרואיד ודרכי הפעולה שלהן.

 

משתמשי אנדרואיד צריכים לשים לב לטכניקת הונאה חדשה שהתגלתה ב-Google Play – כזו שרודפת אחר הכסף באופן ישיר ומסתמכת רק על חוסר הערנות של המשתמש.

אחת האפליקציות שמשתמשת בטכניקה הזו, משחק שהועלה לחנות תחת השם "Pingu Cleans Up", ניסתה לגרום למשתמשים להירשם בהיסח הדעת להרשמה בעלות שבועית של 5.49 פאונד (23 שקלים) באמצעות שיטת התשלום הלגיטימית של גוגל. התכסיס מסתמך על ההנחה שחלק מהמשתמשים ינסו "להעיף בקליק" כל חלון לגיטימי שמונע מהם להשתמש במשחק עצמו, מבלי לייחס תשומת לב לתוכן שלו. המטרה העיקרית של הונאה זו היא משתמשים שפרטי כרטיס האשראי שלהם מאוחסנים בחשבונות ה-Google Play שלהם.

pingu1

תמונה 1: המשחק המטעה שהתגלה בחנות Google Play

המשחק הועלה לראשונה לחנות ב-8 לפברואר 2018 והותקן בין 50,000 ל-100,000 פעמים, עד שהוא הוסר מהחנות לאחר שחברת ESET התריעה עליו בפני גוגל. על פי הדירוג והביקורות על המשחק, נראה שחלק מהמשתמשים אהבו אותו, מבלי להתייחס לשימוש המטעה בשיטת התשלום של Google Play; עם זאת, ישנם דירוגים נמוכים רבים, כפי שניתן לראות בתמונה 2.

pingu2

תמונה 2: דירוגים שונים של האפליקציה וביקורות שליליות מצד משתמשים ב-Google Play

איך זה עובד?

לאחר שהאפליקציה מופעלת, היא גורמת למשתמשים לעצב את דמות המשחק שלהם בשלושה צעדים. בשני הצעדים הראשונים, כדי לבחור את התכונה הרצויה, המשתמש צריך ללחוץ על כפתור "אישור" בחלון קופץ המופיע בחזית. בצעד השלישי, משתמשים שפרטי כרטיס האשראי שלהם מאוחסנים בחשבון יראו חלון שדומה לשני החלונות הקודמים, אלא שהמילה "אישור" הוחלפה במילה "הירשם", כפי שניתן לראות בתמונה 3.

לחיצה על כפתור "הירשם" גורמת לכך שהקורבן יחויב ב-5.49 פאונד בכרטיס המצורף לחשבון. התשלום חוזר על עצמו מדי שבוע עד שהמשתמש מבטל את הרשמתו לאפליקציה.

הערה: הקורבנות של התרמית הספציפית הזו כבר לא צריכים לעשות זאת באופן ידני, שכן ההרשמות בוטלו באופן אוטומטי עם הסרת האפליקציה מחנות Google Play.

pingu3

תמונה 3: שלושת הצעדים המנסים לגרום למשתמשים שפרטי כרטיס האשראי שלהם מאוחסנים בחשבון לשלם על הרשמה.

למשתמשים שאין בחשבונם כרטיס אשראי מוצג חלון אחר בצעד השלישי – חלון המבקש מהם להוסיף אמצעי תשלום כדי להמשיך את הרכישה (תמונה 4). הצורך בהשתתפות פעילה הופך משתמשים כאלה לעמידים יותר בפני נפילה לתרמית הזו (המסתמכת מלכתחילה על חוסר תשומת לב).

pingu4

תמונה 4 – מסך אחר לצעד השלישי המוצג למשתמשים שפרטי כרטיס האשראי שלהם לא מאוחסנים בחשבון.

איך נזהרים?

במקרה של האפליקציה "Pingu Cleans Up", חלק מהמשתמשים היו עשויים לשים לב לכמה דגלים אדומים, עוד לפני שחלון ה"הרשם" הופיע:

  • קישור לא פעיל ל"תנאי שימוש" בכל שלושת הצעדים שהוצגו בתמונה 3.
  • בקשת תשלום מיד עם הפעלת האפליקציה, למרות שהאפליקציה מסווגת כחינמית ב-Google Play
  • דירוגים וביקורות שליליות ב-Google Play

כדי שלא ליפול בתרמיות מסוג זה, תמיד שימו לב להודעות לא צפויות וחשבו פעמיים לפני אישור בקשות שכאלה. לפני התקנת אפליקציה, בדקו את הדירוג והביקורות שלה. אם אתם מרשים לילדיכם להתקין משחקים על המכשיר שלכם, כדאי שתצרו חשבון נפרד למטרה הזו, כזה שפרטי חשבון האשראי לא מאוחסנים בו.

בנוסף, פתרון אבטחה אמין לסמארטפון/טאבלט יסייע להגן על מכשיר האנדרואיד שלכם מפני האיומים האחרונים.

חוקרי חברת אבטחת המידע ESET גילו קבוצה נוספת של אפליקציות בנקאות מזויפות שהצליחה לחמוק אל חנות האפליקציות הרשמית של גוגל, Google Play. במקרה הזה, האפליקציות מתחזות לשישה בנקים מניו-זילנד, אוסטרליה, בריטניה, שוויץ ופולין ול-Bitpanda, בורסה למטבעות דיגיטליים שמוצבת באוסטריה. באמצעות שימוש בטפסים מזויפים, האפליקציות הזדוניות מדייגות את פרטי כרטיס האשראי ו/או את נתוני הגישה לשירותים הלגיטימיים אליהם הן מתחזות.

fake bank app 1

שש מהאפליקציות הזדוניות שנמצאו ב-Google Play

הזיופים הזדוניים הועלו לחנות Google Play ביוני 2018 והותקנו אלפי פעמים לפני שגוגל הורידה אותם מהחנות. האפליקציות הועלו תחת שמות מפתחים שונים, כשכל אחד מהם משתמש בסוג הסוואה שונה, אך הדמיון בקוד המקור של האפליקציות מראה שככל הנראה מדובר בעבודה של תוקף יחיד. ייתכן והבלבול שיצר התוקף תרם לכך שהאפליקציות הצליחו להתגנב לחנות האפליקציות.

המטרה היחידה של האפליקציות הזדוניות האלה היא גניבת מידע רגיש מידיהם של משתמשים תמימים. חלק מהאפליקציות מנצלת את העובדה שלשירות אין אפליקציה רשמית (כמו במקרה של Bitpanda), בעוד שהאחרות מנסות להערים על המשתמשים באמצעות התחזות לאפליקציות הרשמיות הקיימות. ניתן לראות את הרשימה המלאה של הבנקים והשירותים שנבחרו למטרה בסוף המאמר הזה.

כיצד האפליקציות פועלות?

למרות שלאפליקציות אין דרך פעולה אחידה, כולן מציגות טפסים המבקשים את פרטי האשראי ו/או את נתוני הגישה לבנק או השירות הרלוונטיים. אם המשתמש ממלא טופס כזה, הנתונים שמסר נשלחים לשרת של התוקף. לאחר מכן, האפליקציות מציגות לקורבן הודעת "תודה רבה", ומרגע זה הן לא עושות יותר דבר.

איך להימנע מאפליקציות בנקאות מזויפות?

אם אתם חושדים שהתקנתם את אחת מהאפליקציות הזדוניות האלה, אנחנו ממליצים להסיר אותן מיידית.

בנוסף, שנו את הקוד הסודי לכרטיס האשראי ואת כל הסיסמאות לשירותי הבנקאות המקוונים שלכם, ובדקו האם יש פעילות חשודה בחשבונות הבנק שלכם. אם הבחנתם בתנועות חריגות, צרו קשר עם הבנק שלכם. אם אתם משתמשים בשירותי הבורסה האוסטרית Bitpanda וחושדים שהתקנתם את האפליקציה המזויפת, מומלץ שתבדקו האם קיימת פעילות חריגה חשבונותיכם ותשנו את הסיסמאות שלכם.

כדי שלא ליפול קורבן לדיוג ע"י אפליקציות בנקאות מזויפות אחרות, אנו ממליצים:

  • השתמשו באפליקציות בנקאות ובאפליקציות פיננסים אחרות רק אם הורדתם אותן דרך קישור מהאתר הרשמי של הבנק או השירות הפיננסי.
  • הורידו אפליקציות רק מחנות Google Play; זו לא ערבות לכך שהאפליקציה אינה זדונית, אך אפליקציות מסוג זה נמצאות בדרך כלל בחנויות אפליקציות עצמאיות, ורק במקרים מעטים מסירים אותן מהחנות לאחר שהתגלו כזדוניות, שלא כמו בחנות Google Play.
  • שימו לב למספר ההורדות של האפליקציה, לדירוג שניתן לה ולביקורות שנכתבו עליה כאשר אתם מורידים אפליקציות מחנות Google Play.
  • תנו את הפרטים הרגישים שלכם בטפסים מקוונים רק אם אתם בטוחים שמדובר בטופס בטוח ולגיטימי.
  • עדכנו את מכשיר האנדרואיד שלכם והשתמשו בפתרון אבטחה נייד אמין; מוצרי ESET מזהים את האפליקציות הזדוניות האלה בשמותAndroid/Spy.Banker.AIF, Android/Spy.Banker.AIE ו-Android/Spy.Banker.AIP וחוסמות אותן.

 

 

יותר מחצי מיליון משתמשים התקינו נוזקת אנדרואיד המתחזה למשחקי נהיגה שונים – מחנות האפליקציות של הרשמית של גוגל.

לוקאש סטפנקו, חוקר אבטחה בחברת אבטחה ב-ESET, העלה ציוץ בטוויטר עם פרטיהם של 13 אפליקציות משחקים – שנוצרו ע"י אותו המפתח – שהיו זמינות להורדה מחנות האפליקציות גוגל פליי בזמן שהפוסט יצא לאוויר. לדבריו, שתיים מהאפליקציות כבר היו ב"הורדות הפופולריות" של החנות, מה שתרם לחשיפה שלהן.

כל האפליקציות יחד הגיעו ל-580,000 התקנות לפני שגוגל הורידה אותן מהחנות.

fake game app

האפליקציות הזדוניות בחנות Google Play

מי שהתקין את האפליקציות ציפה למשחק נהיגה במכונית או במשאית. במקום זאת, הם הורידו אפליקציה מלאת באגים שהתרסקה בכל פעם שנפתחה, כך היה נראה לפחות.

למעשה, האפליקציה הורידה תכנים מכתובת אינטרנט אחרת – המשויכת למפתח אפליקציות מאיסטנבול – והתקינה נוזקה מאחורי הקלעים תוך כדי שהיא מוחקת את האייקון של האפליקציה. כרגע לא ברור מה בדיוק הנוזקות האלה עושות; אף אחת מהתוכנות לאיתור נוזקות לא הגיעו למסקנה חד משמעית בנוגע למה הנוזקה עושה, בהתבסס על מדגם שהועלה ל-VirusTotal. מה שכן ידוע שזה שהנוזקה הזו עמידה מאוד – היא מופעלת בכל פעם שמכשיר הטלפון או הטאבלט מופעל, ויש לה "גישה מלאה" לתעבורת הרשת שלו, שאותה יוצר הנוזקה יכול לנצל כדי לגנוב פרטים רגישים.

סקוט ווסטובר, דובר גוגל, אישר לאתר TechCrunch שהאפליקציות "הפרו את המדיניות שלנו והוסרו מחנות האפליקציות".

כיצד ניתן לזהות אפליקציה זדונית?

כפי שניתן לראות במקרה הזה לא מספיק להסתפק רק בהורדת אפליקציות מהחנויות הרשמיות. חשוב לנקוט מספר צעדים נוספים כדי לוודא שאכן האפליקציה שמתקנים היא בטוחה:

  • בדקו את הפרטים של האפליקציה לפני ההורדה. שימו לב למפתחים ולאיות של שמות המותג.
  • שימו לב למספר ההורדות של האפליקציה, לדירוג שניתן לה ולביקורות שנכתבו עליה כאשר אתם מורידים אפליקציות מחנות ה-Google Play.
  • היזהרו מאפליקציות המבקשות הרשאות חשודות, כגון גישה לאנשי קשר, הודעות טקסט, הרשאות ניהול, סיסמאות או פרטי כרטיס אשראי.
  • התקינו על המכשיר שלכם תוכנת אבטחה אמינה, היא תתריע לכם על אפליקציות ואתרים נגועים.

אפליקציות למעקב אחר כושר משתמשות בתשלומים מפוקפקים בתוך האפליקציה כדי לגנוב כסף ממשתמשי אפל בעוד שהם לא מודעים לכך בכלל.

מספר אפליקציות המתחזות לכלים לניטור נתוני כושר גופני ובריאות נתפסו כשהן מנצלות לרעה את פיצ'ר ה-Touch ID של אפל על מנת לגנוב כסף ממשתמשי iOS (מערכת ההפעלה של מכשירי אפל). מנגנון התשלום החמקמק בו משתמשות האפליקציות הוא מהיר ומפתיע, והוא מופעל בזמן שהקורבנות סורקים את טביעות אצבעותיהם, לכאורה כדי לעקוב אחר נתוני הכושר שלהם.

ישנן אפליקציות רבות שמבטיחות שיסייעו למשתמשים שלהן להגיע לסגנון חיים בריא יותר. האפליקציות, שהיו זמינות עד לא מזמן בחנות האפליקציות של אפל (Appel Store) ונקראו "Fitness Balance app" ו-"Calories Tracker app", נראו כאילו זה בדיוק מה שהן עושות – הן מחשבות את ה-BMI, מתעדות את הצריכה הקלורית היומית, או מזכירות למשתמשים לשתות יותר מים. עם זאת, על פי דבריהם של משתמשי Reddit, לשירותים אלה התלווה תג מחיר כבד ולא צפוי.

לאחר שהמשתמש מפעיל כל אחת מהאפליקציות שהוזכרו, האפליקציות מבקשות לסרוק את טביעת האצבע שלו על מנת שיוכל "לראות את יומן הקלוריות האישי והמלצות לדיאטה". מספר רגעים לאחר שהמשתמש מסכים לבקשה ומניח את אצבעו על סורק טביעות האצבע, האפליקציות מקפיצות חלון חמקמק המציג בקשה לתשלום של 99.99 דולר, 119.99 דולר או 139.99 יורו.

ניתן להבחין בחלון הקופץ הזה רק למשך שנייה, אך אם כרטיס האשראי או כרטיס החיוב של המשתמש מחוברים באופן ישיר לחשבון שלו באפל, ההעברה נחשבת להעברה מאושרת והכסף מועבר לגוף שעומד מאחורי תרמיות אלה.

סביר להניח ששתי האפליקציות נוצרו ע"י אותו המפתח, זאת בהתבסס על ממשק המשתמש ועל פעולות האפליקציה. בנוסף, משתמשי Reddit העלו סרטונים של האפליקציות "Fitness Balance app" ו-"Calories Tracker app".

fitness scam 1

אפליקציה זדונית בחנות האפליקציות של אפל דורשת מהמשתמשים לסרוק את טביעת האצבע שלהם על מנת לעקוב אחר נתוני הכושר הגופני שלהם (מקור התמונה: Reddit)

fitness scam 2

מסך תשלום מופיע באפליקציות "Fitness Balance app" ו-"Calories Tracker app" (מקור התמונה: Reddit).

אם המשתמש מסרב לסרוק את האצבע באפליקציה הראשונה, "Fitness Balance app", קופץ חלון נוסף שמבקש מהמשתמש ללחוץ על כפתור "המשך" על מנת שיוכל להשתמש באפליקציה. במידה והמשתמש מסכים, האפליקציה מנסה לגרום לו לשלם פעם נוספת, באותה השיטה בדיוק.

למרות האופי הזדוני שלה, האפליקציה "Fitness Balance app" קיבלה דירוג של 5 כוכבים מספר פעמים, היה לה דירוג ממוצע של 4.3 כוכבים והיא קיבלה כמעט 18 ביקורות חיוביות יחסית. פרסום של ביקורות מזויפות היא טכניקה ידועה בקרב עברייני רשת, והיא נועדה לחזק את המוניטין של האפליקציות שלהם.

הקורבנות כבר דיווחו ל-אפל על שתי האפליקציות האלה, מה שהוביל להסרתן מחנות האפליקציות. חלק מהמשתמשים אף ניסו ליצור קשר ישירות עם המפתח של אפליקציית "Fitness Balance app", אך קיבלו תשובה לקונית שבה הוא מבטיח לטפל ב"באגים" האלה בגרסה הקרובה, 1.1.

fitness scam 3

משתמשים שיצרו קשר ישיר עם המפתח קיבלו תשובה שנראית כמו תגובה אוטומטית.

מה משתמשים יכולים לעשות כדי להימנע מאיומים דומים?

מכיוון שאפל לא מאפשרת להכניס מוצרי אבטחה לחנות האפליקציות שלה, המשתמשים נדרשים להסתמך על אמצעי האבטחה שהוטמעו במכשיר ע"י אפל.

לוקאש סטפנקו, חוקר אבטחה בחברת אבטחת המידע ESET ממליץ למשתמשים לקרוא את הביקורות שכתבו משתמשים אחרים. תמיד קל לזייף ביקורת חיובית, ולכן סביר שדווקא הביקורות השליליות יחשפו את האופי האמיתי של האפליקציה.

בנוסף ממליץ סטפנקו, כי משתמשי iPhone X יכולים להפעיל פיצ'ר נוסף הנקרא "לחץ פעמיים כדי לשלם", שדורש מהם לבצע לחיצה כפולה על הלחצן הצידי של האייפון כדי לאשר את התשלום.

מי שכבר נפל בתרמית הזאת יכול לנסות ולדרוש החזר מחנות האפליקציות של אפל.

fitness scam 4

פיצ'ר האישור באמצעות לחיצה על הכפתור הצידי במכשיר iPhone X.

 

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום