rssyoutubefg

באג חדש שהתגלה במערכת ההפעלה iOS למובייל של אפל, מאפשר לכל אחד להשבית את האייפון או האייפד שלכם רק באמצעות שליחת אימוג'י.

כוכב היוטיוב EverythingApplePro פרסם סרטון המדגים כיצד שליחה של רצף תווים יכולה להקפיא באופן זמני מכשירי אייפון, כך כל אחד יכול לשלוח לחבריו ולהטריל אותם.

 ניתן לצפות בהדגמה בסרטון הבא:

באמצעות הודעה טקסט אחת המכילה – אימוג'י של דגל לבן, הספרה 0 ואימוג'י של קשת בענן, ניתן להשבית את מכשירי אפל. הרצף הפשוט הזה מבלבל את מכשירי iOS 10 (הצירוף של דגל וקשת הוא סמל הגאווה להזכירכם). ברגע שההודעה מתקבלת, המכשיר מנסה לקבל את האימוג'ים אך נכשל, אפליקציית ההודעות קורסת ובסופו של דבר גורמת לאתחול מחדש. הנמענים אפילו לא צריכים לפתוח או לקרוא את ההודעה.

עוד שיטה "להקריס" את מכשירי אפל הניידים, כוללת גם היא את הרצף שהצגנו (דגל לבן, 0, קשת בענן), אבל באופן ששומרים אותם כאיש קשר ושולחים אותו כ- iMessage באמצעות תכונת השיתוף של iCloud.

מדובר כבר במקרה שישי בשנים האחרונות שמתגלה פירצה באייפון שניתן לנצל באמצעות שליחת הודעת MMS. דווקא בגלל שמשתמשי אייפון ואפל הם יחסית מוגנים מנוזקות ופרצות, התפיסה המוטעית של ביטחון עלולה לחשוף אותם להתקפות. חשוב לזכור שלא קיימים מכשירים או מערכות הפעלה שהם חסינים לחלוטין לפריצה, ולכן מומלץ לבצע עדכוני אבטחה ברגע שהם משוחררים.

זוהי לא פעם ראשונה שמפרסם היוטיובר כיצד למוטט מכשירי iOS. יש לו סרטונים רבים המדגימים טכניקות שונות.

אם רציתים סיבה נוספת מדוע לא להוריד אפליקציית פורנו, הנה לכם אחת- אפליקציית Pornhub מזויפת שותלת תוכנת כופר במכשירי האנדרואיד.

זה קצת אירוני שאפליקציית פורנו מדביקה סמארטפונים בוירוס, ונועלת את הסמארטפונים כ"עונש" למי שמחפש את התוכן הלא חוקי. כחלק מדו"ח שהוציאה בימים האחרונים חברת אבטחת המידע ESET, דווח על אפליקציה המתחזה לאפליקציה של אתר הפורנו הפופולרי Pornhub, נועלת את המכשיר ודורשת כופר על מנת לשחררו.

בגלל שחנות ה- Google Play אינה מאפשרת ל- Pornhubאפליקציה רשמית בחנות (אינה מאפשרת כלל להפיץ תכנים פורנוגרפיים בפלטפרומה שלה), משתמשים מחפשים את האפליקציות הללו במקומות אחרים ומורידים אפליקציות שאולי נראות כמו מה שהם חושקים בו אבל למעשה הן הרבה יותר מסוכנות מזה. התוצאה היא שהמשתמשים מוצאים עצמם מחפשים את חנות התיקון הקרובה לביתם.

כאשר אתם מורידים את האפליקציות האלו, הן מתריעות בפניכם שהן ראשית סורקות את הטלפון שלכם כדי לאתר וירוסים לפני הצגת תוכן וידאו לא חוקי. אבל במקום לסרוק את המכשיר היא בעצם מתקינה נוזקה. ברגע שהנוזקה נשתלה בסמארטפון היא מתקינה תוכנת כופר הנועלת את המכשיר ודורשת 100$ בביטקוין על מנת לשחרר אותו.

pornhup 1pornhup 2

ישנן מספר הנחיות כיצד להימנע מסוג זה של תוכנות זדוניות והבאנו לכם כמה טיפים כיצד להיפטר מנוזקות אלו באם כבר נפלתם קורבן. ראשית כדי למנוע מקרים כאלו התקינו על מכשירכם אפליקציית אבטחה, שנית תמיד תדאגו שמכשיר שלכם מגובה ושיש לכם גישה לנתונים הנמצאים עליו גם אם אין ברשותכם את המכשיר. אם נתקלתם בנעילת מסך כמו במקרה הזה, העבירו את המכשיר ל"מצב בטוח", אפליקציות צד שלישי לא יוכלו לפעול ותוכלו להסיר את האפליקציה הזדונית בקלות. במידה ובעת התקנת האפליקציה נדרשו הרשאות מנהל, ראשית הסירו את ההרשאות מתפריט ההגדרות ורק לאחר מכן תוכלו להסיר את האפליקציה. אופציה נוספת היא לשחרר את הנעילה באמצעות כלי ניהול למובייל (MDM). במידה ולא נותרה ברירה אפשר לאפס את הגדרות היצרן, פעולה שתמחק את כל הנתונים על המכשיר והיא פחות סימפטית ולכן רק המוצא האחרון.

לקבלת מידע נוסף על תוכנות הכופר לסמארטפונים ומה אפשר לעשות בקשר לזה, אתם יכולים לקרוא את הדו"ח המלא של ESET.

חוקרי ESET איתרו לראשונה תוכנת כופר לאנדרואיד המנצלת את שירותי הנגישות של מערכת ההפעלה של אנדרואיד. חוץ מלהצפין את הקבצים השמורים במכשיר הנוזקה נועלת את מכשיר הקורבן.

בתחילת השנה דיווחנו לכם על עליה של 50% במספר הזיהויים של נוזקות הכופר לאנדרואיד במהלך שנת 2016. השימוש הגובר בסמארטפון הופך אותו למקום אחסון לנתונים יקרי ערך והמידע הרגיש שנאגר במכשירים הופך את מתקפות הכופר לאטרקטיביות יותר עבור פושעי הסייבר. בהתאם ניתן לראות את ההתפתחות של נוזקות הכופר בתחום המובייל.

הנוזקה החדשה המכונה DoubleLocker, מבוססת על טרויאני לגניבת פרטי בנק ואשראי ומנצלת לרעה את שירותי הנגישות של מערכת ההפעלה אנדרואיד. עם זאת, ל-DoubleLocker אין את הפונקציות הקשורות לגניבת אישורי הבנקאות של המשתמשים ומחיקת את החשבונות שלהם. במקום זאת, יש לה שני כלים רבי עוצמה אחרים לסחיטת כסף מהקורבנות שלה.

DoubleLocker יכולה לשנות את סיסמת הנעילה ובכך למנוע גישה למכשיר. בנוסף באפשרותה להצפין את הקבצים והתיקיות הנמצאים על מכשיר האנדרואיד – השילוב הקטלני הזה מופיע לראשונה במערכת ההפעלה של אנדרואיד.

"הודות לשורשים הטרויאנים שלה, DoubleLocker יכולה בהחלט בעתיד להפוך למה שאנחנו קוראים לו 'כופר-בנקאי'. נוזקה התוקפת בשני שלבים, ראשית גונבת את פרטי הכניסה לחשבונות הבנק או ה-PayPal ולאחר מכן נועלת את המכשיר ומצפינה את הנתונים על מנת לדרוש כופר. למעשה, כבר איתרנו גרסת מבחן של נוזקה מסוג זה כבר במאי 2017" אומר לוקאס סטפנקו, חוקר הנוזקות שזיהה את תוכנת הכופר.

כיצד היא מופצת?

DoubleLocker מופצת בדומה לטרויאני לגניבת פרטי בנק ואשראי עליו היא מבוססת. בהתקפה מגיע הקורבן לאתר זדוני או אתר שהודבק, כאשר הוא מתבקש להתקין תוסף מזויף של Adobe Flash Player על מנת לצפות בתוכן שבאתר (יכול להיות סרטון שנשלח אליו לינק או אתר סטרימינג).

לאחר התקנת התוסף, הקורבן מתבקש לתת הרשאות מנהל עבור שירות מתחזה שנקרא Google Play Service. ברגע שהתוסף הזדוני מקבל את הרשאות מנהל עבור השירות שלו, הוא מגדיר את עצמו כ Launcher של המכשיר. הגדרה של Launcher באנדרואיד משמעותה האפליקציה שמנהלת את העיצוב של הממשק ושל דפי הבית במכשיר. המשמעות היא שבכל פעם שהמשתמש לוחץ על הכפתור "בית" במכשיר (בדרך כלל הכפתור האמצעי במרבית מכשירי האנדרואיד), מופעל שוב התוסף הזדוני שמפעיל גם את נעילת המכשיר.

נועלת גם את המכשיר וגם את הנתונים

ברגע שהנוזקה משתלטת על המכשיר היא מבצעת שתי נעילות שונות של המידע, סיבה כפולה לקורבנות לשלם את הכופר.

ראשית, היא משנה את קוד הנעילה של המכשיר, וחוסמת את שימוש הקורבן במכשיר. קוד הנעילה החדש מוגדר כערך אקראי שאינו מאוחסן במכשיר ולא נשלח לשום מקום, ולכן אין אפשרות, לא לקורבן ולא למומחה אבטחה לשחזר את הקוד. לאחר תשלום כופר, התוקף יכול מרחוק לאפס את קוד הנעילה ולפתוח את המכשיר.

שנית, DoubleLocker מצפינה את כל הקבצים מספריית האחסון הראשית של המכשיר בצירוף סיומת הקובץ "Cryeye.".
תשלום הכופר המבוקש על מנת לשחרר את המכשיר והקבצים עומד על 0.0130 ביטקוין, שהם כיום כ-72 דולר והמסר מדגיש כי הוא חייב להיות משולם בתוך 24 שעות. אם הכופר לא ישולם, הנתונים יישארו מוצפנים והמכשיר יישאר נעול.

doublelocker 1

כך נראים הקבצים המוצפנים במכשיר הנגוע ב- DoubleLocker

doublelocker 2

הודעת דרישת הכופר במכשיר נגוע ב- DoubleLocker

איך נפטרים מהנוזקה?

בדרישת הכופר, התוקפים מזהירים את הקורבן מלהסיר או לחסום את הנוזקה: "ללא התוכנה על המכשיר לעולם לא תצליח לגשת לקבצים שלך". כדי למנוע הסרה לא רצויה של התוכנה, התוקפים ממליצים גם להשבית את תוכנת האנטי-וירוס של המשתמש.

"בכל נושא מומלץ להתעלם מההצעות של התוקפים" מסביר סטפנקו. "משתמשים שמותקנת על מכשירם תוכנת אבטחה אמינה מוגנים מ-DoubleLocker".

עבור מרבית המשתמשים, שאינם פורצים את המכשיר או משתמשים בכלי פיתוח מיוחדים, במידה ונדבקתם בנוזקה, הדרך היחידה לשחזור הגישה למכשיר היא באמצעות איפוס הגדרות היצרן. באשר לתיקיות והקבצים המוצפנים, נכון לעכשיו לא ניתן לשחרר אותם.

לכן חשוב לוודא שהמידע שנשמר על המכשיר מגובה לענן, ובמיוחד אנשי הקשר והתמונות שלא תמיד מסונכרנים אוטומטית לענן. כמובן שחשוב גם להתקין תוכנת אבטחה יעילה ומוכרת להגנה על המכשיר.

אפליקציית האבטחה ESET Mobile Security מספקת הגנה מפני DoubleLocker. 

משתמשי אנדרואיד נחשפו לאפליקציה זדונית המתחזה ל Adobe Flash Player ומאפשרת החדרה של תוכנות זדוניות.

האפליקציה התגלתה ע"י חוקרי ESET ומזוהה בשם Android/TrojanDownloader.Agent.JI. אותו סוס טרויאני מוליך את הקורבנות לאפשר הרשאות מסוימות במכשיר ובכך מותיר אותו פגיע להתקנת נוזקות נוספות על ידי התוקפים.

על פי חוקרי ESET הטרויאני שם לו למטרה מכשירים בעלי מערכת הפעלה של אנדרואיד כולל אלו עם הגרסאות המעודכנות ביותר. הטרויאני מופץ באמצעות אתרים פרוצים, אתרים למבוגרים ורשתות חברתיות. תחת היומרה של אמצעי בטיחות, האתרים מפתים משתמשים להוריד עדכון Adobe Flash Player מזויף. הקורבן מגיע למסך עדכון שנראה לגיטימי ומפעיל את ההתקנה.

Fake Flash Player update screen

העדכון המזויף של Flash Player

איך זה עובד?
לאחר הורדת "עדכון" ה-Adobe Flash Player, מופיע מסך המתריע על "צריכת סוללה מוגברת" ודוחק במשתמש לעבור למצב מזויף של "חיסכון סוללה". כמו רוב הפופ אפים הזדוניים, ההודעה לא תפסיק לקפוץ עד שהמשתמש יסכים לקבלת השירות. פעולה זו פותחת את תפריט הנגישות במכשיר האנדרואיד, ומציגה רשימה של שירותים עם פונקציות הנגישות. בין האפשרויות המובנות, מופיעה אופציה חדשה "חיסכון סוללה" (שנוצרה על ידי הנוזקה בעת ההתקנה). לאחר מכן נפתח מסך המסביר שעל מנת לעבור למצב "חיסכון סוללה" יש לאפשר מספר הרשאות שבהמשך יאפשרו לתוקפים לשלוט מרחוק בפעולות הנעשות במכשיר ללא ידיעתו של המשתמש.

Pop up screen requesting Saving Battery after install

לאחר ההתקנה יופיע מסך הדורש להפעיל מצב "חיסכון סוללה"

Android Accessibility menu with the malicious service
תפריט הנגישות מציע את השירות הזדוני

Permissions requested by the malicious service
בקשת מתן הרשאות על ידי הנוזקה

ברגע שהמשתמש אישר את ההרשאות הללו מוסתר האייקון של Adobe Flash Playerולא ניתן לראות אותו ברשימת האפליקציות המותקנות. בשלב זה מוצג מסך נעילה על גבי המסך, שכביכול טוען את הפעולה של החיסכון בסוללה. ברקע יוצרת הנוזקה קשר עם שרת השליטה והבקרה של התוקפים, ושולחת אליו מידע על המכשיר שהודבק. השרת שולח בחזרה לינק שמוביל לאפליקציה זדונית נוספת, במקרה זה נוזקה לגניבת פרטי חשבונות בנק (למרות שניתן להגדיר אותה להתקנה של כל נוזקה אחרת, כמו רוגלות או נוזקות כופר).

lock screen

מסך הנעילה המסווה את הפעולות הזדוניות 


כל הפעולות הללו מתבצעות בחשאיות ומוסתרות מאחורי מסך הנעילה. לאחר שהעבריינים סיימו לשתול את הנוזקות, מסך הנעילה נעלם והמשתמש יכול להמשיך להשתמש במכשיר מבלי להיות מודע ליישומים שהותקנו במכשירו.

האם המכשיר שלי נדבק בנוזקה? כיצד ניתן לנקות אותו?
אם אתם חוששים שהתקנתם עדכון מזויף של Flash Player בעבר, ניתן לאמת זאת בקלות על ידי בדיקת "חיסכון בסוללה" תחת "שירותים" בתפריט נגישות. אם תחת "שירותים" מופיע מצב החיסכון, ישנו סיכוי טוב שהמכשיר נגוע בנוזקה.
כדי להסיר את הנוזקה, נסו להסיר את היישום באופן ידני מתוך הגדרות (Settings) -> מנהל יישומים (Application Manager) -> Flash Player.
במקרים מסוימים, הטרויאני מבקש מהמשתמש להפעיל זכויות מנהל התקנים. אם זה המקרה ואין באפשרותכם להסיר את האפליקציה, יש לבטל את הרשאות מנהל על ידי הגדרות (Settings)-> Security (אבטחה) -> Flash-Player ולאחר מכן להמשיך עם הסרת ההתקנה.
גם לאחר הסרת ההתקנה, המכשיר עדיין עשוי להיות נגוע וייתכן שנוזקות רבות כבר הותקנו על ידי הטרויאני. על מנת לוודא שהמכשיר שלכם נקי, אנו ממליצים להשתמש באפליקציית אבטחה למובייל כגון ESET Mobile Security & Antivirus כדרך בטוחה ופשוטה להסיר את האיומים מהמכשיר.

כיצד להישאר בטוחים?
מומחי האבטחה של ESET הכינו עבורכם מספר המלצות בסיסיות על מנת למנוע הדבקה בנוזקות במובייל:
- הורידו אפליקציות או עדכונים רק ממקור מהימן - במקרה של עדכון Adobe Flash Player, המקום הבטוח היחיד לקבל את זה הוא האתר הרשמי של Adobe. בדקו תמיד את כתובת ה- URL בדפדפן שלך.
- הכירו את ההרשאות שהאפליקציות במכשיר שלכם מאפשרות, והיו עירניים להרשאות נוספות שאפליקציות מבקשות.
- השתמשו בפתרון אבטחה למכשיר הנייד.

יש לכם סמארטפון הפועל על מערכת ההפעלה של אנדרואיד? ייתכן שכמה מהאפליקציות שהתקנתם משאירות אתכם פגיעים למספר סוגי מתקפות, כך גילו חוקרים מאוניברסיטת משיגן בארה"ב. במאמרם חשפו החוקרים נקודות תורפה באפליקציות המאפשרות לתוקפים לגנוב מידע ממשתמשים ואף לשתול נוזקות במכשירי האנדרואיד.

חוקרים מאוניברסיטת מישיגן זיהו פרצת אבטחה חמורה במאות אפליקציות המצויות ב-Google Play. צוות החוקרים טוען שהדבר קורה בעיקר באפליקציות היכולות ליצור "פורטים" (port) פתוחים- בעיה מוכרת במחשבים- ועכשיו מסתבר גם במכשירי סמארטפון. כלומר לבעיה הזו אין שום קשר למערכת ההפעלה של המכשיר או המכשיר עצמו; במקום זאת, מקורה של "הדלת אחורית" הזו נובעת משיטות קידוד לא מאובטחות על ידי מפתחי האפליקציות.

החוקרים השתמשו בכלי שיצרו על מנת לסרוק מעל 100,000 אפליקציות לאנדרואיד ומצאו למעלה מ-400 אפליקציות שעלולות להיות פגיעות – כאשר לאחת האפליקציות שנמצאו יש 10-50 מיליון הורדות.

ראשית בואו נבין מהם "פורטים", פורטים יכולים להיות פיזיים ויכולים להיות אלקטרוניים. פורטים פיזיים הם למשל חיבור USB המשמש להעברת נתונים בין התקנים. פורטים אלקטרוניים הן מעין דלתות בלתי נראות המאפשרות לאפליקציות או שירותים לתקשר עם מכשירים או שירותים אחרים. לדוגמה פורט 80 נפתח ע"י הדפדפן כדי להתחבר לאינטרנט.
במילים אחרות, כל אפליקציה שמותקנת על מכשיר פותחת פורטים (1-65535) שהם לא בשימוש ויכולה לשמש כמעין דלת וירטואלית שמאפשרת לתקשר ולהחליף מידע בין מכשירים. זה יכול להיות סמארטפון, שרת, מחשב אישי או כל מכשיר חכם המחובר לאינטרנט.
במהלך השנים, יותר ויותר אפליקציות פועלות דרך האינטרנט או הרשת, אך במקביל, האפליקציות הללו והפורטים שנפתחים באמצעותן יכולים להוות חוליה חלשה במערכת של המכשיר שלכם, מה שעלול לאפשר לפורץ לפרוץ או להשתלט על המכשיר שלכם ללא ידיעתכם.

זה בדיוק מה שצוות אוניברסיטת מישיגן פירט בעבודת המחקר שלהם. לדבריהם, הבעיה העיקרית היא עם אפליקציות כמו WiFi File Transfer, שהותקנה בין 10 מיליון ל -50 מיליון פעמים. האפליקציה מאפשרת למשתמשים להתחבר לפורט על הטלפון החכם שלהם באמצעות Wi-Fi, ולכן מקלה על תהליך העברת קבצים מטלפון למחשב. בשל אבטחה לא מספקת, יכולת זו של האפליקציה היא כנראה לא רק בידי הבעלים של הטלפון החכם, אלא גם בידיים של גורמים זדוניים.
אומנם על פניו, יישומים כמו WiFi File Transfer מציבים פחות איומים, שכן הם מתוכננים לעבוד ברשת מקומית בלבד, המחייבת את התוקפים להיות מחוברים לאותה רשת כמו של הקורבן. מאידך, בעיה זו מסוכנת ביותר בתרחישים שבהם אתה מתחבר לרשת Wi-Fi ציבורית או לרשת ארגונית לעתים קרובות יותר.

כדי לקבל הערכה ראשונית על ההשפעה של החולשות הללו, הצוות ביצע סריקת פורטים ברשת הקמפוס שלו, ובתוך 2 דקות הוא מצא מספר מכשירים ניידים המשתמשים באפליקציות הפגיעות הללו.
אין ספק, שפורט פתוח מהווה כר פורה לתקיפה, אבל חשוב לציין שלא ניתן לנצל פורט פתוח אלא אם כן מותקנת במכשיר אפליקציה שפותחת אותו וקיימת בה פרצת אבטחה באימות או כזו שמאפשרת הפעלה של קוד מרחוק.


ניתן לראות את ההתקפות בסרטונים הבאים:

שימוש בפורטים פתוחים של האפליקציה על מנת לגנוב תמונות באמצעות השתלת תוכנה זדונית

גניבת תמונות באמצעות התקפת רשת

שליחת SMS לשירותי פרימיום

לדברי הצוות, ניתן לנצל את נקודות התורפה הללו בכדי לגרום נזק חמור מאוד למשתמשים כמו לגנוב אנשי קשר, תמונות ואפילו סיסמאות או פרטי כניסה, וכן לבצע פעולות רגישות כגון התקנה של תוכנות זדוניות על המכשיר.

אנחנו ממליצים להתקין על המכשיר אפליקציית אבטחה שתדע גם לאתר ולהתריע על התקנות של אפליקציות שאינן בטוחות (potentially unsafe applications) ולא רק לזהות וירוסים. כמו כן, חשוב לזכור שחיבור לרשתות WiFi ציבוריות חושף אותנו להתקפות מסוג זה וגם מסוגים אחרים שיכולים לאפשר לתוקפים לגנוב את החשבונות דוא"ל שלנו, הפרופילים שלנו ברשתות חברתיות, וגם במקרים מסוימים את פרטי הגישה שלנו לחשבון הבנק. לכן לא מומלץ להתחבר לרשתות כאלה, ולהשתמש רק ברשתות פרטיות ומאובטחות או לגלוש באמצעות הרשת הסלולרית.

למאמר המלא

חוקרי  ESET גילו מעל 80 אפליקציות זדוניות המתחזות למודים של המשחק הפופולארי Minecraft שהורדו ע"י קרוב למיליון משתמשים מחנות האפליקציות הרשמית של גוגל.

לפני שנתיים פחות או יותר דיווחנו לכם על אפליקציות זדוניות שהתחזו למיינדקרפט על מנת להפחיד את אתכם. היום אנחנו מדווחים לכם על עוד הונאה שמתבצעת במסווה של אפליקציית המשחק המוכרת. כעת שחקני האנדרואיד של המשחק מיינקרפט נפלו קורבן ל-87 אפליקציות זדוניות שהתחזו למודים של המשחק בגוגל פליי, אך בפועל המשתמשים חוו לאחר ההורדה הצגה אגרסיבית של מודעות פרסומיות והונאות. עד כה, 990,000 התקינו את המודים המזויפים.

pic1

החוקרים חילקו את הפעילות הזדונית לשתי קטגוריות מרכזיות; אפליקציות המציגות מודעות, כ-14 אפליקציות זדוניות שהותקנו על ידי 80,000 משתמשים, בגלל ההצגה האגרסיבית של המודעות ניתן לראות את הביקורות השליליות על האפליקציות.

הקטגוריה השנייה הן אפליקציות מזויפות המפנות את המשתמשים שהורידו אותן לאתרי הונאה. במקרה זה דווח על 73 אפליקציות מזויפות שהותקנו על ידי 910,000 מאז שהועלו לחנות האפליקציות. לאחר ההתקנה, היישומים יציגו מסך עם לחצן הורדה. לחיצה על הלחצן אינה מורידה את המודים שהתכוון המשתמש להוריד; במקום זאת, האפליקציה מפנה את המשתמש לאתר שנפתח בדפדפן ומציג סוגים שונים של תוכן מטריד החל ממודעות, סקרים, הצעות לקופונים חינם, זכייה בפרס, פורנו, עדכונים מזויפים ואזהרות מזויפות על וירוסים שמנסות להפחיד את המשתמשים. ההודעות מוצגות למשתמשים בשפות שונות בהתבסס על כתובות ה- IP שלהם.

pic2

שימו לב! במיוחד כשמדובר באפליקציות שמבטיחות לנו בונוסים או שדרוגים לתוכנות או שירותים מוכרים, חשוב להקדיש כמה שניות לפני שאנחנו מתקינים אותן ולראות מה הדירוג שלהן ומה וכמות המשתמשים בהן. במקרה הזה אפשר במבט חטוף על הדף של כל אחת מהאפליקציות הנ"ל להבין שהן לא אמינות.

לניתוח המלא של חוקרי ESET

 

לאחרונה התגלו כ-13 אפליקציות זדוניות בחנות האפליקציות של גוגל המבקשות לגנוב את פרטי הכניסה של משתמשי הרשת החברתית אינסטגרם. אפליקציות גניבת הפרטים הופיעו בחנות האפליקציות הרשמית ככלים לניהול או הגדלת מספר העוקבים באינסטגרם.

instagram 1

האפליקציות הזדוניות כפי שהוצגו בגוגל פליי

תחת שם הזיהוי Android/Spy.Inazigram , זוהו 13 אפליקציות זדוניות בחנות האפליקציות הרשמית של גוגל. מטרתן היא לחלץ את פרטי הכניסה של המשתמש כך שישלחו לשרת מרוחק.
הזיהוי מעיד כי מקורן של האפליקציות הוא בטורקיה, אך הן עברו אדפטציה לאנגלית על מנת לאתר משתמשי אינסטגרם מכל העולם. בסך הכול, האפליקציות הזדוניות הותקנו על ידי 1.5 מיליון משתמשים. לאחר הזיהוי של חברת אבטחת המידע כל האפליקציות הוסרו מהחנות.

 איך זה בדיוק עובד?

כל האפליקציות פעלו באותה טכניקה של הזנת פרטי הכניסה על ידי המשתמש ושליחתם לשרת מרוחק. על מנת לפתות את משתמשים להוריד את האפליקציות, הובטח למשתמשים שמספר העוקבים, הלייקים והתגובות בחשבון האינסטגרם יעלו משמעותית.
באופן אירוני, פרטי החשבונות שנגנבו שימשו להעלאת את כמות העוקבים של משתמשים אחרים, כפי שיוסבר בהמשך הכתבה.

instagram 2

אפליקציית " Instagram Followers" מבטיחה להעלות את המעורבות באינסטגרם

כפי שניתן לראות כאן בצילום המסך, מתוך ניתוח של אחת מהאפליקציות הזדוניות “Instagram Followers”, היא דורשת מהמשתמשים להתחבר לחשבון האינסטגרם תוך הצגת מסך המתחזה למסך הכניסה של אינסטגרם. המשתמש מכניס את הפרטים והם נשלחים לשרת של התוקף. לאחר הכנסת הפרטים המשתמש לא יצליח לבצע את הכניסה לחשבון ויקבל הודעה שהסיסמא שגויה.

instagram 3

המסך המתחזה של כניסה לאינסטגרם

instagram 4

מסך הודעת השגיאה

מסך השגיאה כולל גם הודעה המציעה למשתמש לבקר באתר הרשמי של אינסטגרם על מנת לאשר שאכן החשבון שלהם ולאפשר להם להתחבר לאפליקציית צד שלישי. הקורבנות מקבלים הודעה על ניסיון לא מורשה להיכנס מטעמם ומתבקשים לאמת את החשבון שלהם ברגע שהם פותחים את אינסטגרם. מטרת ההודעות הללו להקטין את חשדם של הקורבנות.

instagram 5

הודעה רשמית של אינסטגרם המתריעה על הניסיונות כניסה לאפליקציה

 

אם התוקפים מצליחים והקורבן לא מזהה את האיום, זה מאפשר להם להמשיך ולהיכנס לחשבונות של הקורבן.

מה קורה לפרטים שנגנבים?

אתם בטח שואלים את עצמכם: מה כבר אפשר לעשות עם אלפי פרטי כניסה לאינסטגרם?
מלבד הזדמנות להשתמש בחשבונות שנפרצו להפצת דואר זבל ומודעות פרסומיות, יש גם סוגים שונים של "מודלים עסקיים" שבמסגרתם הנכסים היקרים ביותר הם עוקבים, הלייקים והתגובות שלכם באינסטגרם. במחקר הנוכחי, השרתים אליהם הועברו פרטי הכניסה הם של אתרי מכירות של חבילות שונות המאיצות פופולריות באינסטגרם.

instagram 6

אתרים המוכרים עוקבים באינסטגרם

 

 הסכמה הבאה מתארת את המתקפה:

instagram 7

כיצד להתגונן?

אם הורדתם את אחת מהאפליקציות האלו, תוכלו למצוא את אחד הסמלים שלהן תחת היישומים המותקנים שלכם. כמו כן, תוכלו לראות הודעה מאינסטגרם על מישהו שמנסה להיכנס לחשבון שלך, כפי שמוצג בתמונה הרביעית. לבסוף, תוכלו להבחין שכמות העוקבים שלכם גדלה באופן מוזר או שתקבלו תגובות על פוסטים שמעולם לא פרסמתם. פה תחשדו.

על מנת לנקות את המכשיר, ניתן להסיר את האפליקציות הנ"ל דרך מנהל היישומים שלכם או להשתמש בפתרון אבטחה אמין למובייל שיסיר את האיומים עבורכם.

כדי להגן על החשבון האינסטגרם שלכם, שנו את הסיסמא שלכם כבר עכשיו. במידה ואתם משתמשים באותה סיסמה בפלטפורמות מרובות, שנו גם את הסיסמאות האחרות. מחברי התוכנות הזדוניות ידועים בכך שהם מנסים לגשת עם אותם פרטים לשירותי אינטרנט אחרים, מומלץ להשתמש בסיסמאות שונות עבור כל אחד מהחשבונות שלכם.

כדי למנוע מהתוקפים להגיע לחשבונות המדיה החברתית שלכם, ישנם כמה דברים שכדאי לזכור בעת הורדת אפליקציות צד שלישי מ- Google Play:
אל תכניסו המידע הרגיש שלך לצורות התחברות מהימנות של יישומי הצד שלישיים. על מנת לברר אם אפליקציה היא מהימנה, בדוק את הפופולריות של המפתחים שלה על ידי מספרי התקנות, דירוגים, והכי חשוב, תוכן של חוות דעת.
עם זאת, לא כדאי לקפוץ למסקנות מהר מדי, לא תמיד אפשר לסמוך על דירוגים וסקירות (לעיתים הם גם תוצאה של טכניקות של התוקפים). אם יש לכם ספק, בחרו באפליקציות איכותיות המסומנות כ-Top Developer או נמצאות בקטגורית "בחירת העורך".

ואחרון חביב, השתמשו בפתרון אבטחה למובייל כדי להגן על המכשיר.

עד 2020, מעריכים כי מספר מכשירי ה- IoT (האינטרנט של הדברים) יעלה על 20 מיליארד. החל ממקררים חכמים למכונות קפה ועד בובות ברבי, מכשירים "מחוברים" לאט לאט ממלאים את משקי הבית שלנו. רבים מההתקנים הללו הם כבר עכשיו וכנראה גם בהמשך, נגישים באמצעות הטלפונים חכמים שלנו. בזמן שזה נוח מאוד עבור משתמשים, ישנן חולשות אבטחה בסמארטפונים שלנו שניתן לנצל כדי להפוך חפצים חכמים נגדנו. בעוד רבים מאתנו מכירים היטב את ההתנהלות ואמצעי הזהירות עם מחשבים נייחים וניידים, המשמעת שלנו הרבה יותר רופפת ואנחנו פחות מודעים לסיכונים כשמדובר בטלפונים שלנו.

רפואה חכמה

בשנים האחרונות חלה עלייה במספר המכשירים הרפואיים ומכשירי מדידת הכושר המחוברים לאינטרנט, שרבים מהם מזינים נתונים או יכולים להיות מבוקרים באמצעות אפליקציות בסמארטפונים שלנו. משמעות הדבר היא כי מכשירים כאלה המכילים נתונים רגישים על הבריאות שלנו חשופים למתקפות סייבר. מכשירי IoT מסתמכים יותר ויותר על הטלפונים החכמים שלנו בעזרת חיישנים מובנים הנתמכים באמצעות אפליקציות. הבעיה עם זה היא כי התשתית לאבטחה של הנתונים המועברים דרך הטלפונים שלנו פשוט עדיין לא קיימת.

תחבורה חכמה

זה לא רק נתונים רפואיים שניתן לנצל, אנו משתמשים יותר ויותר בטלפונים שלנו כדי לגשת לבנקאות מקוונת, לקנות מוצרים דרך אתרי אינטרנט ולגשת לשירותים ציבוריים. הנתונים שנאספים הם מכרה זהב עבור עברייני הרשת.
מכוניות אוטונומיות, מערכות חכמות של ניהול תנועה ופיתוחים קיימים של שירותים שאנחנו כבר מכירים כמו Moovit שעוזרת לנו להגיע ממקום למקום בתחבורה ציבורית או Uber ו- Gett המאפשרות הזמנה, איתור ותשלום על מוניות דרך האפליקציה הם חלק בלתי נפרד ממהפכת ה-IoT. החיסרון העיקרי של הניידות החכמה הוא שהשימוש ב GPS-הוא חלק בלתי נפרד מהפונקציונליות שלה, GPS נתפס כמטרה קלה עבור פושעי הסייבר. גיימרים למשל מנצלים את ה-GPS כדי לרמות במשחק המציאות הווירטואלית פוקימון גו. בדיוק כך פושעי הסייבר יכולים בעזרת נתונים החושפים את המיקום שלכם או של המכונית שלכם – לדעת איפה אתם נמצאים, או יותר מפחיד לדעת איפה אתם לא.

תעשייה חכמה

גם עסקים יכולים להיות חשופים לסיכונים רחבים יותר בעקבות המהפכה. תארו לעצמכם את הנזק הפוטנציאלי אם עברייני סייבר יוכלו להתחבר לרשתות ייצור מבוססות IoT. בעיקרון המגמה היא חיובית, ייצור חכם הוא במגמת עלייה ושיתוף פעולה בין האדם למכונה ממשיך לגדול. תהליכי הייצור יכולים כעת להיות מרושתים ולספק יעילות רבה יותר, כמו גם אבחון בזמן אמת ותגובה מהירה. עם זאת, הסמארטפונים שלנו עלולים לייצר נקודת תורפה. למשל חברות שמחברות התקני IoT לרשתות לרוב בטוחות כמו המכשירים עצמם. עם זאת, העלייה בנוהל של הבאת הסמארטפון האישי לעבודה כמדיניות יכולה להשאיר פרצת אבטחה אם אלו רשתות שניתן לגשת אליהן באמצעות טלפונים חכמים כי למכשירים הפרטיים שלנו אין את אישורי אבטחה הדרושים.

ערים חכמות

בדיוק כפי שאנו מיעלים את חיי הבית שלנו בעזרת מכשירים מחוברים, הערים שאנו חיים בהן הופכות חכמות יותר גם כן. מועצות מקומיות יכולות כעת להשתמש בנתונים כדי לסייע בהחלטה על יישומי התכנון, כדי לפקח על צריכת החשמל ואף לחזק את בטיחות הציבור ואת תגובת החירום. בעוד כל אלו חדשות טובות, חלק מן הנתונים שנאספים יכולים להיות מנוצלים על ידי האקרים באמצעות הסמארטפונים שלנו. ככל שהעיר שלכם חכמה יותר, כך יש לה יותר מערכות מחשוב וכך גם גדלה הגישה לנתונים שנאספו על ידי מערכות אלה. במקביל, בסמארטפונים שלנו יכולים להיות עד 25 חיישנים שונים, כמו GPS, מצלמות ומיקרופונים, גירוסקופ (מכשיר המשמש לניווט, לייצוב כלי שיט, כלי טיס וכו') ועוד רבים וטובים. זוהי בעיה משום שרוב היישומים הניידים אינם חייבים לבקש רשות לגשת לחיישנים של הטלפון החכם, כלומר תוכנות זדוניות יכולות "להאזין" בחשאיות ולגנוב מידע רגיש.

בשנת 2016 דווח כי החיסרון הגדול ביותר עבור צרכנים המחפשים לרכוש מכשירי IoT היה המחיר, 62% מהמשיבים טענו כי המכשירים האלו יקרים מדי. אך ככל שהמחיר יורד, ומספר ההתקנים המחוברים גדל, האבטחה ב- IoT הופכת להיות משהו שחייבים לקחת בחשבון - וצרכנים צריכים להתייחס אליו ברצינות.

בשנים האחרונות נוזקות כופר השתלטו על מחשבי ה-PC וב-2016 הן הגיעו גם לאנדרואיד – ובגדול. איך אפשר למנוע התקפות כאלה, מה עושים אם כבר נדבקתם והאם כדאי לשלם את הכופר?

2016 הביאה איתה התפתחויות מרתקות בזירת הכופר לאנדרואיד, ובפרט בתחום הכופר למכשירי הסלולר, שהופך לאחד הנושאים המרכזיים בכל הנוגע לאבטחת מידע במובייל. במהלך השנה החולפת עברייני הסייבר השתמשו בטכניקות של נעילת מסך (lock-screen) והצפנת קבצים (crypto-ransomware), תוך שהם מיישמים על המכשירים הניידים את הטכניקות שכבר הוכיחו את עצמן במחשבים האישיים. בנוסף פיתחו התוקפים שיטות מתוחכמות וייחודיות עבור מכשירי האנדרואיד.

מה כל כך מושך האקרים במכשירי המובייל הללו? אנחנו מחליפים את השימוש היומיומי שלנו במחשב ה-PC ועוברים לשימוש מוגבר במכשירי המובייל, שהופכים למקום אחסון לנתונים יקרי ערך. המידע הרגיש שנאגר במכשירים שלנו הופך את מתקפת הכופר במובייל לאטרקטיבית יותר עבור פושעי הסייבר, ובהתאם – מספר הזיהויים לנוזקות כופר באנדרואיד גדל ביותר מ-50% לעומת 2015, וקפיצה משמעותית נרשמה במחצית הראשונה של 2016.

Picture1 e1488122476245

מגמת זיהוי נוזקות הכופר לאנדרואיד

פרט לטקטיקת ההפחדה הנפוצה ביותר של נעילת המסך והצגת הודעה מתחזה הטוענת כי במכשיר נמצא תוכן לא חוקי (Police Ransomware), פושעי הסייבר השקיעו מאמצים מרובים לשמור על פרופיל נמוך ולכן מצפינים את הנוזקה עמוק בתוך התוכנות הנגועות על מנת שלא יזוהו.

כלכלת תוכנות הכופר, לפי ה-FBI, הכניסה להאקרים כמיליארד דולר ב-2016, והסכום הזה רק מהווה תמריץ עבור התוקפים להמשיך ולהרחיב את פעילותם. חשוב להיות מודעים לכך שהאיום הזה נמצא גם במובייל ולנקוט צעדי מניעה. הצעדים הראשונים והחשובים ביותר הם להימנע מרכישה בחנויות אפליקציות לא רשמיות ולוודא שעל מכשירכם מותקנת אפליקציית אבטחה מעודכנת. בנוסף חשוב מאוד שיהיה גיבוי של המכשיר המכיל את כל המידע הקריטי שנשמר עליו. כך, גם אם תפלו קורבן, הקבצים המוצפנים יהיו נגישים בגיבוי וכל הסיפור יסתיים במטרד מינורי.

מה עוד אפשר לעשות כדי למנוע מנוזקה להשתלט לכם על הטלפון? חשוב תמיד לבדוק את רשימת ההרשאות שמבקשת אפליקציה בעת ההתקנה, ולחשוב אם הן באמת דרושות לה, ולא משנה אם זו אפליקציה של חברה קטנה או של חברה גדולה ומוכרת כמו Facebook Messenger. אותו הכלל תקף גם כאשר יורדים עדכונים אוטומטיים והאפליקציה מבקשת מאיתנו לאשר הרשאות נוספות. אחד היתרונות בגרסה 7 האחרונה של אנדרואיד, הוא החזרה של מערכת ההרשאות לאפליקציות. זו מקפיצה חלונות התראה כאשר אפליקציות מבקשות הרשאות נוספות, ונותנת אפשרות לשלול מהאפליקציה הרשאות שכבר הענקנו לה.

אל תשלמו

אם בכל זאת נדבקתם בתוכנת כופר במכשיר שלכם, יש כמה דרכים להסירה, והן משתנות לפי סוג הנוזקה.
נעילת מסך "פשוטה": מדובר על מרבית המקרים של התקפות הכופר באנדרואיד. כדי להתגבר על כך העבירו את המכשיר ל"מצב בטוח", כך שאפליקציות צד שלישי (כולל תוכנת הכופר) לא יוכלו לפעול ותוכלו להסיר את האפליקציה הזדונית בקלות. שימו לב שאם בעת התקנת האפליקציה נדרשו הרשאות מנהל, ראשית יש להסיר את ההרשאות מתפריט ההגדרות ורק לאחר מכן להסיר את האפליקציה.

נעילת המסך בקוד PIN: אם תוכנת כופר בעלת הרשאות מנהל נעלה את המכשיר באמצעות קוד PIN של המכשיר או באמצעות סיסמת נעילת המסך, המצב קצת יותר מורכב. ניתן לשחרר את הנעילה באמצעות Google’s Android Device Manager , באמצעות שירותים ייחודיים לכל יצרנית, כמו זה של סמסונג או באמצעות כלי ניהול עסקי למובייל (MDM).

 Android Device Manager e1488456386748

 מתוך האתר של גוגל google.com/android/devicemanager

כמו כן, אם במכשיר מאופשרות "אפשרויות מפתח", ניתן גם לחבר את המכשיר למחשב ולמחוק את קובץ ההגדרות שמכיל את קוד הנעילה, באמצעות ADB tools. במכשירי אנדרואיד בגרסה 4.4 (Kitkat) ומטה, ניתן להשתמש ב-Google Login: יש להקליד את הקוד 5 פעמים בצורה שגויה, ואז להגיע למסך שמאפשר חיבור לחשבון הגוגל ואיפוס סיסמה. המוצא האחרון הוא איפוס הגדרות היצרן, שימחק את כל הנתונים על המכשיר, ויש להשתמש בו רק אם אין פתרונות אחרים שזמינים בכלי ניהול המובייל.

גם אם אלה לא עובדים מומלץ לא לשלם את הכופר הנדרש. נכון, בחלק מהמקרים מי שישלם את הכופר יצליח לשחרר את הקבצים המוצפנים, אבל זה לא תמיד מה שקורה בפועל. כאמור, תוכנות כופר שמצפינות את הקבצים הן הפופולריות בקרב יוצרי הנוזקות, ורבים מפושעי הסייבר קפצו על הטרנד הזה בתקווה לשחזר את ההצלחה של קודמיהם. אבל, לפי מחקר של ESET, רבות מהנוזקות הללו מיושמות באופן גרוע, ועבור המשתמשים זה אומר שני דברים: ראשית, גם אם תשלמו לא תוכלו לקבל את מפתח ההצפנה לקבצים שלכם; ושנית, בגלל חוסר התחכום ייתכן שתוכלו לחלץ את הקבצים שלכם מבלי לשלם.

 כאשר מדובר במתקפות על מכשירי אנדרואיד, קיימים מקרים שבהם מפתח ההצפנה או הקוד לשחרור נעילת המסך בכלל לא קיימים, כך שתשלום הכופר לא היה מאפשר את שחרור הקבצים או המכשיר בכל מקרה. בנוסף, ובעיקר אצל משתמשים בודדים או עסקים שנופלים קורבן למתקפת כופר ומתמודדים עם אובדן נתונים, אף אחד לא מבטיח שפושעי הסייבר יעמדו בתנאי ההסכם וישחררו את המידע לאחר התשלום, וגם אם שילמתם לא בטוח שהם, או תוקפים אחרים, לא יחזרו לתקוף בשנית.

 

מעבדת הוירוסים שלנו זיהתה בחנות האפליקציות של גוגל 343 אפליקציות שמתחפשות למשחקים פופולאריים אך למעשה גולשות בשם בעל המכשיר לאתרי פורנו. ההאקרים מצליחים להעלות כ-10 אפליקציות כאלה מדי שבוע לחנות

נדמה לכם שאתם מורידים אפליקציית משחק אהוב ופופולארי – השם של המשחק והאייקון שלו נראים זהים לחלוטין למקור. למעשה, אתם עלולים ליפול שולל בידי אפליקציה זדונית שנקראת Porn Clicker שנכנסת בשמכם לאתרים פורנוגרפיים ומקליקה על פרסומות בתוכם כדי ליצור רווחים.

לרוב אותן אפליקציות מתחזות למשחקים פופולריים. 343 אפליקציות כאלו אותרו על ידי המעבדה שלנו ב-7 החודשים האחרונים. זוהי מתקפת הווירוסים המשמעותית ביותר שנעשתה עד היום על חנות האפליקציות. בין היתר נמצאו למעלה מ-60 גרסאות מתחזות של אפליקציות GTA ו-30 של Subway Surfers.

לא פעם ולא פעמיים ניסו לתקוף את חנות האפליקציות של גוגל, אבל המתקפה הזו היא המוצלחת ביותר כאשר מדי שבוע 10 אפליקציותPorn Clicker עוברות מתחת לרדאר הבידוק הביטחוני של גוגל. למרבה הצער, הרבה משתמשים נופלים בפח ויש 3,600 הורדות בממוצע לכל אפליקציה מתחזה שכזו.

לגוגל קשה לעקוב אחרי אפליקציות המדוברות כי הן יוצאות כל העת בגרסאות בעלות קוד חדש כדי לטשטש את העילה האמיתית לקיומן מול הבידוק הביטחוני של גוגל. ESETזיהתה את המתקפה הראשונה של אפליקציות מסוג זה בפברואר 2015 ומאז חל גידול מתמיד ומתגבר.

מה קורה במכשיר אחרי שמתקינים את האפליקציה?

לרוב האפליקציה "מתחפשת" לאפליקציית הגדרות מערכת. כך היא למעשה מרתיעה את המשתמשים מלהסיר אותה, כי אף אחד הרי לא רוצה להתעסק עם "המערכת". מרגע שהיא נכנסת לפעולה היא מבצעת הקלקות פיקטיביות בפרסומות ומייצרת רווחים נאים עבור המפעילים שלהן. לטובת העניין ה-Porn Clickerמחלישה את המכשיר – מנצלת את הסוללה, המעבד ואת חבילת הגלישה. המכשיר גם עלול להינזק ממפגעים רבים אחרים כל עוד האפליקציה הזאת נמצאת במכשיר.

למרות הנזק הרב שאפליקציות כאלה מסבות, אפשר להקדים תרופה למכה או למנוע ממנה לפגוע בזמן.

תוכלו להימנע מלהוריד את האפליקציה הזדונית אם תעשו כמה דברים:

דירוג האפליקציה – אם אפליקציה מקבלת דירוג נמוך בחנות זה מעיד על חוויות המשתמש השליליות של אלו שכבר "אכלו אותה". כדאי גם לקרוא ביקורות שגולשים אחרים כותבים, אם יש כאלה שכותבים שמדובר בהונאה ומזהירים גולשים אחרים.

להתקין רק מהחנות של גוגל – נכון שהרבה אפליקציות זדוניות מוצאות את דרכן פנימה אבל עדיין בטוח יותר להתקין מחנות רשמית מאשר ממקורות לא מוכרים.

בררו מה שם המפתח של האפליקציה – מתחת לשם האפליקציה תמיד מופיע שם החברה שפיתחה אותה. חשוב לבדוק מי החברה המפתחת את האפליקציה ואם מופיע שם אחר ולא מוכר, אז אל תתקינו.

האפליקציה מבקשת הרשאות משונות – מכירים את זה שכשאתם מורידים אפליקציה אתם צריכים לאשר רשימת הרשאות שהאפליקציה מבקשת בשביל לפעול על המכשיר שלכם? אם אפליקציית משחק פשוטה דורשת גישה לאנשי הקשר שלכם, לביצוע שיחות או למיקום שלכם, תבינו שמשהו בזה לא תקין.

מה עובר על המכשיר שלי? – האפליקציה הרי גוזלת משאבים של המכשיר כשסוללה היא הראשית שבהם. תוסיפו לזה שהמכשיר מתחמם יותר מדיי, הסוללה נגמרת מהר מדיי, חבילת הגלישה אוזלת מהר מדיי, הזיכרון במכשיר מתחיל לאזול. זה אמור בהחלט לעודד חדש.

התקינו אפליקציית אבטחה – כל המחקרים מצביעים שיותר ויותר וירוסים ואפליקציות זדוניות עוקפים את מערכת ההפעלה אנדרואיד ויותר ויותר אנשים נופלים בפח. אל תזלזלו – תהיו הרבה יותר רגועים אם תתוקן במכשיר שלכם אפליקציית אבטחה שתזהה התנהגות מטרידה של אפליקציות ותדווח על כך או תעצור מלכתחילה את ההתקנה שלהן על גבי המכשיר הסלולרי היקר שלכם.

אחרי הסרטון ששיתק את האייפון קבלו את הדבר הבא. חוקרים גילו שהודעה טקסט אחת יכולה לגרום לקריסה של אפליקציית ההודעות באמצעות MMS במערכת ההפעלה iOS הודות לבאג שהתגלה לאחרונה. החדשות הטובות אתם יכולים לפתור את זה לבד.

הודעה טקסט אחת מאפשרת השבתה של אפלקציית ההודעות בכל iPhone עקב באג שהתגלה לאחרונה.
הבאג שגורם לחסימה של אפליקציית ההודעות במכשיר האייפון, לא מאפשר למשתמש לקרוא הודעות טקסט או iMessages. הפגיעה היא משמעותית, כך שגם כאשר המשתמש נועל את המכשיר או מאתחל אותו מחדש החסימה לא נפתחת.

בכדי להפעיל את ההשבתה, כל שצריך זה לשלוח למכשיר ה"מטרה" vCard (איש קשר ממספר הטלפונים) המכיל כל כך הרבה שורות קוד שאפליקציית ההודעות לא מסוגלת לעבד את המידע. כאשר האפליקציה פותחת את ההודעה המכילה את ה-vCard, האפליקציה קופאת ולמשתמש מוצג מסך לבן.

בגלל שאפלקציית ההודעות של אייפון תמיד מנסה לפתוח את ההודעה האחרונה שהתקבלה, גם לאחר אתחול הטלפון או נעילתו ושחרורו האפליקציה תמשיך לנסות לפתוח את ההודעה הזדונית.

לינק לסרטון שמדגים כיצד ניתן לשתק את האייפון באמצעות הודעת טקסט בלבד:
https://www.youtube.com/watch?v=N2doEKKywck

הבאג זהה ל “Effective Power” שהתגלה בחודש מאי ב-2015, כאשר משתמשי האייפון שמו לב להודעת טקסט המכילה תוכן בערבית שלאחר קבלתה מכשיר האייפון הושבת.

securityaffairs

מקור: securityaffairs

מדובר כבר במקרה חמישי בשנים האחרונות שמתגלה פירצה באייפון שניתן לנצל באמצעות שליחת הודעת MMS. במקרים אחרים היו גם משתמשים בפרצות כדי לבצע jailbreak למכשיר ולאפשר להתקין עליו אפליקציות שלא מהחנות הרשמית, וגם כחלק מהתקפות מרוחקות על מכשירים, כדי לגנוב מהם מידע או לרגל אחר המשתמש.

דווקא בגלל שמשתמשי אייפון ואפל הם יחסית מוגנים מנוזקות ופרצות, התפיסה המוטעית של ביטחון עלולה לחשוף אותם להתקפות. חשוב לזכור שלא קיימים מכשירים או מערכות הפעלה שהם חסינים לחלוטין לפריצה, ולכן מומלץ לבצע עדכוני אבטחה ברגע שהם משוחררים.

בחזרה להווה, יש גם חדשות טובות למשתמשי האייפון שקיבלו את ההודעה הזדונית. קיימות שתי דרכי פעולה אפשריות על מנת להסיר את ההודעה מראש רשימת ההודעות:

- באמצעות הקלקה על הלינק הבא: vincedes3.com/save.html, אשר יפתח חלון לשליחת הודעה חדשה, לחיצה על "cancel"/ "ביטול" ומחיקה של ההודעה הזדונית.

- ניתן לבקשר מחבר שישלח לך הודעה או לחילופין לשלוח הודעה למכשיר שלך בעזרת Siri. ברגע שתתקבל הודעה חדשה האפליקציה תאפשר לפתוח את ההודעה החדשה ובכך לא תנסה לעבד שוב את ההודעה הזדונית.

 

במסווה של שירותים אטרקטיביים ליוטיוב, אפליקציית “Boost Views” גונבת את פרטי ה-PayPal של משתמשיה. עד כה האפליקציה הזדונית הורדה על ידי 100,000 משתמשים.

האפליקציה שזוהתה ע"י חוקרי חברת אבטחת המידע ESET, מבטיחה לייצר רווחים מצפייה בתוכן YouTube בתוך האפליקציה, וכן להגדיל את הטראפיק ב- YouTube בתמורה לרכישת חבילות צפייה. על פי תיאור האפליקציה, משתמשים יכולים בקלות למשוך את הרווחים שנצברו לחשבון PayPal שלהם.

עם זאת, אם משתמשים מנסים לעשות זאת על ידי הזנת פרטי PayPal שלהם לתוך טופס "אימות", הם ימצאו את עצמם קורבנות להונאה – כסף הם ממש לא ירוויחו מהסיפור הזה. גרוע מכך, פרטי ה-PayPal שלהם נמצאים כעת לרשותם של התוקפים, מוכנים לשימוש.

youtube 1

כך נראית האפליקציה בגוגל פליי

youtube 2

youtube 3

ביקורות שליליות על האפליקציה בגוגל פליי


איך זה עובד?
ברגע שהאפליקציה מותקנת, המשתמש מתבקש ליצור חשבון. לאחר תהליך הכניסה, המשתמש יכול לבחור את אחד השירותים שהאפליקציה מספקת.
על מנת להרוויח כסף מצפייה בסרטוני YouTube, אחד מהשירותים המרכזיים שמספקת האפליקציה, ישנו נגן סרטונים הנקרא “Viewer”. המשתמשים יכולים לצפות בסרטונים בנגן בתמורה ל$0.0001-0.0005 לדקה, כשבתחתית המסך יש חווי לכמות הכסף שהמשתמש צבר עד כה.

youtube 4

נגן הסרטונים של האפליקציה המציג את סכום הכסף שנצבר

לאחר שנצברו $ 0.09 במהלך 16 שעות של צפייה בתוכן לאחר שראו החוקרים שאין שום אזכור לסף מינימום לתשלום, ניסו החוקרים למשוך את הסכום שנצבר. על מנת למשוך את הכסף, יש להזין תחילה את פרטי הכניסה של PayPal בטופס התחברות לא מאובטח עבור "אימות". לאחר שהמשתמשים מזינים את הפרטים שלהם, הם מקבלים הודעת שגיאה "התחברות לא חוקית" ופרטי ה- PayPal נשלחים ללא הצפנה לשרת של המפתחים.
פרטי ה-PayPal/ פרטי האשראי של הקורבנות חשופים לשימוש לרעה. בעת כתיבת מאמר זה, PayPal לא דיווחה על פעילות חשודה בחשבון המשתמשים לבדיקת תכונות האפליקציה הזדוניות. עם זאת מציעה החברה למשתמשים לוודא כי לא נעשה שימוש בחשבונות שלהם.

youtube 5

אישור פרטי ה-PayPal במסך האימות

you

הודעת השגיאה כפי שהיא מופיעה לאחר הזנת הפרטים

כיצד תגוננו?
אם הורדתם את Boost Views וניסיתם למשוך כספים דרך PayPal אנו ממליצים לכם לשנות את סיסמת PayPal שלכם מיד. בדקו את החשבון שלכם ואם זיהיתם פעילות חשודה דווחו על כך ל- PayPal. מומלץ גם להסיר את ההתקנה של האפליקציה הזדונית, שנמצאת תחת הגדרות > מנהל יישומים / אפליקציות > 'Boost Views'.
באופן כללי על מנת להימנע מליפול קורבן לאפליקציות זדוניות של Android יש כמה עקרונות שיש להיצמד אליהם בעת התקנת אפליקציות במכשיר שלכם:
במידת האפשר, תמיד תעדיפו להוריד אפליקציות מחנויות אפליקציות רשמיות על פני מקורות לא ידועים. אמנם כפי שאנחנו רואים Google Play לא מושלם, עם זאת עדיין עושה שימוש מנגנוני אבטחה מתקדמים כדי לשמור על אפליקציות זדוניות מחוץ לחנות.
נקטו משנה זהירות בעת הורדת אפליקציות של צד שלישי, המציעות פונקציות נוספות ליישומים קיימים, שכן ייתכן שיש קאטצ' במבצעים אטרקטיביים אלה. בעיקר הימנעו ממתן פרטים רגישים המוצבים כתנאי לשימוש באפליקציות צד שלישי.
בכדי לבדוק אם יש לבטוח באפליקציה, בדקו את הפופולריות של האפליקציה במספר ההתקנות, הדירוגים, והכי חשוב, תוכן הביקורות. במקרה של ספק, בחרו באפליקציות באיכות גבוהה המסומנות כ'מפתחים מובילים' או בקטגוריה 'בחירת עורך'.
אחרון אך לא פחות חשוב, השתמשו בפתרון אבטחה מכובד כדי להגן על המכשיר מפני איומים כמו זה שהזכרנו כאן.

הפרצה מאפשרת להאקרים להדביק את המכשיר בווירוסים או להתקין עליו אפליקציות זדוניות ללא ידיעת המשתמש.

למרות ניסיונותיהם הכנים של מפתחי האפליקציות ליצור אפליקציות בטוחות ככל האפשר, פרצות אבטחה באפליקציות ותוכנות פופולאריות ממשיכות להתגלות כל הזמן. ברוב המקרים, פרצות האבטחה שמתגלות הן יחסית שוליות והמפתחים מתקנים אותם במהירות, אבל מפעם לפעם מתגלות פרצות שהן באמת מסוכנות.

דוגמה לפרצת אבטחה מסוכנת היא זו שנחשפה בשבוע בעבר באפליקציית הדפדפן כרום לאנדרואיד. למה היא נחשבת מסוכנת? ראשית אפליקציית כרום לאנדרואיד מותקנת על קרוב ל- 4 מיליון מכשירים, מה שהופך את פוטנציאל ההדבקה לגדול מאוד. שנית, הפרצה מאפשרת להאקרים לנצל את רכיב הג'אווה של האפליקציה כדי להדביק את מכשיר האנדרואיד שלכם בווירוס באמצעות אתרי אינטרנט זדוניים.

בנוסף, הפרצה שנתגלתה מאפשרת להאקר להתקין לכם אפליקציות שונות על המכשיר מבלי שבכלל תהיו מודעים לכך. במילים אחרות, מי שידע לנצל את הפרצה יוכל להתקין על המכשיר שלכם כל אפליקציה שהוא ירצה. לדוגמה - אפליקציות ריגול זדוניות שיתעדו את הודעות הוואטסאפ או ה SMS שלכם, שיקליטו את שיחות הטלפון שלכם, יעתיקו את רשימת אנשי הקשר שלכם, יקראו את הדואר האלקטרוני שלכם ... הבנתם את הנקודה.

החדשות הטובות

החדשות הטובות הן שהפרצה עדיין לא מנוצלת על ידי האקרים "בשטח". היא נחשפה בשבוע שעבר ע ידי חוקר אבטחה יפני בשם גואנג גונג, שדאג לעדכן את גוגל בממצאים וזו צפויה לפרסם עדכון שיחסום את הפרצה בימים או בשבועות הקרובים.

איך תוכלו להגן על האנדרואיד שלכם?

אל תתעלמו מעדכונים – מכיוון שרוב הסיכויים שפרצת האבטחה עדיין אינה מנוצלת על ידי האקרים בפועל, וסביר להניח שגוגל יפיצו עדכון לאפליקציה לפני שניתן יהיה לנצל אותה בצורה נרחבת, אין צורך בשלב זה להסיר את אפליקציית הכרום מהמכשיר שלכם. עם זאת, אל תתעלמו מעדכונים לאפליקציית הכרום אם קיבלתם כאלה.

ניתן גם לבדוק באופן יזום אם קיימים עדכונים עבור הדפדפן המותקן במכשיר שלכם. פשוט כנסו לעמוד האפליקציה בחנות ה- Google Play ובדקו אם מתחת לשם האפליקציה מופיע כפתור ירוק עליו כתוב Update. אם כן, פשוט לחצו על ה Update להתקנת העדכון.

שימו לב לקישורים מפוקפקים – לחיצה על קישורים ממקורות מפוקפקים הוא אף פעם לא מומלץ, על אחת כמה וכמה כשישנה פרצה ידועה שטרם תוקנה. הפרצה תוכל להדביק את המכשיר שלכם בווירוס רק אם תיכנסו לאתר נגוע, והדרך של ההאקרים למשוך אתכם לאתר הנגוע הוא באמצעות קישורים מפוקפקים בהודעות דואר אלקטרוני וברשתות החברתיות, לכן הישארו ערניים וחישבו לפני שאתם לוחצים.

התקינו אפליקציית אבטחה – למרות שהאקרים משתמשים בפרצות אבטחה על מנת לעקוף את אמצעי האבטחה בהם אתם משתמשים, אפליקציית אבטחה תוכל לזהות אם וירוס או אפליקציה זדונית חדרו למערכת או אם קיימת התנהגות חשודה כלשהי במכשיר.

שוב, אפליקציה זדונית מסתננת לחנות האפליקציות של גוגל במסווה של אפליקציות פופולאריות. הפעם זו אפליקציה שדוחפת לכם פרסומות טורדניות. איך תיפטרו ממנה?
אחת מהדרכים השכיחות ביותר להפיץ תוכנות זדוניות לסמארטפונים בעלי מערכת ההפעלה אנדרואיד, היא באמצעות הסוואתן לאפליקציות פופולאריות לגיטימיות. רק לאחרונה חשפנו כמה אפליקציות זדוניות כאלה, כמו למשל האיום שהתחזה לאפליקציית הליפסינג פופולארית Dubsmash והצליח להדביק עשרות אלפי משתמשים.

במטרה להפוך את ה Google Play למקום בטוח יותר עבור משתמשי אנדרואיד, אנשי מעבדת הווירוסים של ESET מפקחים מקרוב על חנות האפליקציות של גוגל ומחפשים אפליקציות שעלולות להיות מסוכנות.

כעת, אנחנו חושפים איום נוסף ב Google Play, שעד לחשיפתו הצליח להדביק יותר מ 200 אלף משתמשים. הפעם האפליקציה הזדונית ניצלה את הפופולאריות האדירה של אפליקציות המשחק Pou ו- Subway Surfers, שלכל אחת מהן כמה מאות מיליוני הורדות. האפליקציות התחזו לצ'יטים, שמספקים למשתמשים "קיצורי דרך" במשחקים הפופולאריים, אך באותו זמן גם גרמו להופעת פרסומות טורדניות במרווחי זמן קבועים.

post 183 1

למרות שהצגת פרסומות כשלעצמה היא לא מחזה נדיר או חריג בפלטפורמת האנדרואיד, אפליקציית ה AdDisplay הזדונית משכה את תשומת ליבנו בגלל כמה מאפיינים חשודים בדפוס הפעולה שלה. היא כללה אמצעים מיוחדים להגנה עצמית, ולא רק במטרה להפוך את הסרתה לקשה יותר, אלא גם כדי לאפשר לה להתחמק ממנגנון זיהוי האפליקציות הזדוניות של גוגל עצמה - ה- Google Bouncer.

post 183 2

כמה מהפרסמות שהוצגו על ידי האפליקציה AdDisply

בעקבות חשיפת האיום על ידי אנשי מעבדת הווירוסים שלנו, הסירה גוגל את האפליקציות הבעייתיות מחנות האפליקציות.

כיצד מסירים את ה AdDisplay

כפי שצוין קודם לכן, האפליקציה AdDisplay משתמשת בטכניקות של הגנה עצמית במטרה להפוך את הסרתה לקשה יותר. אחת מהטכניקות הללו היא לתת לאפליקציה הרשאות אדמיניסטרטור בעת ההתקנה, וכדי שיהיה ניתן להסיר אותה, צריך קודם כל לשלול ממנה את ההרשאות.

אם אתם משתמשים באפליקציית האבטחה שלנו, ESET Mobile Security, תוכלו להיעזר בה על מנת להסיר את האפליקציה. לשם כך עליכם לוודא שמנגנון הזיהוי של אפליקציות לא רצויות (Potentially Unwanted Application) מופעל. כדי לעשות זאת, פתחו את האפליקציה, לחצו על אנטי וירוס, כנסו להגדרות מתקדמות, העבירו את הבורר מול "אתר אפליקציות שעלולות להיות לא רצויות" למופעל על ידי הסתת הבורר ימינה.

post 183 3

אם אין לכם תוכנת הגנה על המכשיר, תוכלו להסיר את האפליקציה ידנית. ניתן ליישם את השיטה הזו לא רק על האפליקציה הספציפית הזו, אלא על כל אפליקציה חשודה, שאינה אפליקציית מערכת.

בתפריט ההגדרות הכלליות של המכשיר כנסו להגדרות האבטחה, מצאו את Phone/Device Administrator. לחיצה אחת תפתח לכם את רשימת האפליקציות להן יש הרשאות אדמיניסטרטור למכשיר. כדי להסיר את ההרשאות לחצו על האפליקציה ואז לחצו על "נטרל".

post 183 4

לחץ להגדלה

לאחר הסרת הרשאות האדמיניסטרטור, ניתן להסיר את האפליקציות באופן הרגיל במנהל האפליקציות של המכשיר.

לסיכום

לאחרונה נתקלנו בהרבה אפליקציות זדוניות לאנדרואיד שהיו הרבה יותר מסוכנות מהאפליקציה AdDisplay. אבל, ויש פה "אבל" גדול, עצם היכולת שלה להתחמק מזיהוי על ידי גוגל, העובדה שהיא מצליחה להשיג הרשאות אדמיניסטרטור למכשיר שלכם והקלות בה היא מציגה לכם פרסומות (שעלולות להוביל אתכם להתקנה של אפליקציות זדוניות נוספות) נותנות לה פוטנציאל של אפליקציה זדונית מסוכנת באמת.

כדי להימנע מהאיומים האלה, הקפידו על התקנת אפליקציות מהימנות, קראו את הביקורות והמלצות הגולשים שכבר התקינו את האפליקציה והתקינו אפליקציית אבטחה על מכשיר האנדרואיד שלכם.

אל דאגה, אין צורך יותר לחשוש כי אפליקציית פוקימון גו תקרא את המיילים שלכם כי חברת ניאניק המפתחת את התוכנה ערכה עדכון למשתמשי התוכנה ב-ios כדי להבטיח שבאופן וודאי האפליקציה לא תבקש הרשאות לחשבון הגוגל של השחקן. אמש פורסם כי חוקר אבטחה ששמו אדם ריב זיהה שהאפליקציה מבקשת הרשאות מאנשים שמתחברים באמצעות חשבון הגוגל, כאלה שיכולות לפגוע באופן משמעותי בפרטיות. האפליקציה יכלה לקרוא מיילים, לשלוח מיילים בשם המשתמש, וגם לקבל גישה מלאה לכל המסמכים בגוגל דוקס ולתמונות פרטיות שיושבות בשירות של גוגל. כן גם האפליקציה קיבלה גישה להיסטוריית הגלישה של השחקן. בנוסף לכל בעיות הפרטיות הללו, אם האקרים פורצים לאפליקציה במצב עניינים שכזה הם יכולים לקבל גישה ישירה לחשבון הגוגל ולכל המידע שיש בו.

חברת ניאנטיק מיהרה לצאת בתגובה כי היא תתקן את בקשת ההרשאות של האפליקציה והנה כבר היום ניתן לבצע עדכון לאפליקציה שבו יוסרו כולן. העדכון כולל מספר שיפורים נוספים ותיקוני באגים, מלבד להקטנת היקף הגישה שיש למשחק לחשבון הגוגל האישי של המשתמשים.
"בתקופה האחרונה אנחנו שומעים על המון מקרים שבהם אפליקציות מבקשות הרשאות שהן לא אמורות לבקש", אומר גיל נוילנדר מנכ"ל ESET ישראל. "גם אפליקציות לגיטימיות, כמו למשל משחק מוכר ומפורסם כמו גו פוקימון יכולות לעשות זאת. חשוב תמיד לשים לב איזה הרשאות האפליקציה מבקשת.כחלק מתהליך הרכישה או התקנת האפליקציה אתם מתבקשים לקרוא ולאשר את ההרשאות שהאפליקציה מבקשת - אל תדלגו על השלב הזה. אפליקציות להפצת דואר זבל או הונאות אנדרואיד או אייפון אחרות ינסו להשיג גישה לכמות גדולה של מידע רגיש, כמו למשל הודעות ה-SMSשלכם, תעבורת הרשת שלכם ועוד. אם האפליקציה שאתם רוצים להתקין מבקשת גישה למידע רגישאו לאפשרויות כמו 'ביצוע שיחות' או 'דואל אלקטרוני' ובסך הכל מדובר במשחק, שומר מסך, עורך תמונות או שעון מעורר – אל תתקינו את האפליקציה, קרוב לוודאי שמדובר באפליקציה זדונית. אמנם פוקימון גו אינה אפליקציה זדונית אבל במקרה הזה מומלץ היה למשתמשים לגשת לאחר ההורדה להגדרות המכשיר, לחפש את האפליקציה ולהסיר את כל ההרשאות באופן ידני. כרגע מומלץ לבצע את העדכון שלה".

הונאת פישינג חדשה מופצת בימים האחרונים באמצעות הדואר האלקטרוני. הפעם היעד של המתקפה הוא משתמשי אפל ובניגוד למתקפות פישינג קודמות, ההודעה החדשה משתמשת בשפה רהוטה ובתמונות באיכות גבוהה, אשר גורמות לה להיראות אמינה ביותר.

כך זה עובד: הקורבן המיועד מקבל הודעת דואר אלקטרוני המגיעה כביכול מחברת אפל, הטוענת בפניו שעקב מחסור בפרטים, אפל נאלצת להציב הגבלות על החשבון שלו, ושהגבלות אלו יהיו בתוקף עד שהפרטים יעודכנו. זוהי לשון ההודעה:

"ייתכן שהבחנת בכך שקיימות מספר הגבלות על חשבון שלך. זהו חלק מהליך האבטחה שלנו שמטרתו היא לוודא שאנחנו ממשיכים לספק דרך בטוחה יותר לקניה ולמכירה ברשת. במרבית המקרים כל שנדרש הוא מעט יותר אינפורמציה בנוגע אליך".

בהמשך ההודעה הגולשים מתבקשים ללחוץ על קישור שיעביר אותם לטופס בו הם יוכלו לעדכן את הפרטים שלהם, כדי שניתן יהיה להסיר את ההגבלות מהחשבון. לחיצה על אותו קישור מעבירה את הגולש לאתר מתחזה, בו הגולש נדרש לעבור מספר שלבים של "עדכון פרטים".


apple

הודעת הפישינג. צילום מסך Soft Pedia.

בשלב הראשון הגולש נדרש לספק את מספר ה- Apple ID והסיסמה שלו, בשלב הבא הוא נדרש לספק פרטים אישיים, כולל כתובת המגורים שלו ובשלב האחרון הוא מתבקש לעדכן את "אמצעי התשלום", כלומר, מספר כרטיס האשראי שלו כולל פרטים כמו תוקף, שלושת הספרות בגב הכרטיס ועוד.

הטפסים אותם נדרש הגולש למלא נראים טוב מאוד ביחס למה שאנחנו מכירים מהונאות פישינג קודמות, דבר שעלול לגרום למשתמשים לא להבחין בכך שמדובר בהונאה.

שלושה כללים פשוטים שישמרו עליכם מפישינג:

1. אף פעם אל תלחצו על קישורים בהודעות דואר אלקטרוני, במיוחד אם אינכם בטוחים ב- 100% מי שלח אותן.

2. כאשר מדובר בהודעת דואר אלקטרוני מחברה מוכרת כמו אפל, עדיף ללכת על בטוח וליצור קשר עם שירות הלקוחות של החברה על מנת לוודא אם אכן ההודעה נשלחה מטעמם. לחילופין, תוכלו פשוט להתחבר לחשבון שלכם מהדפדפן (בניגוד לשימוש בקישור בהודעה) ולבדוק האם ישנן התראות כלשהן או נושאים שבהם עליכם לטפל.

3. הקפידו לבצע עדכונים למערכת ההפעלה, הדפדפן ותוכנת האבטחה שלכם. בהרבה מאוד מקרים, תוכנות מעודכנות ימנעו מכם להיכנס לאתרי פישינג, אפילו אם לחצתם על הקישור.

 

הטרויאני שתוקף מכשירי אנדרואיד וגונב פרטי כניסה לחשבונות בנק, עליו דיווחנו לראשונה בתחילת השנה, מצא את דרכו חזרה לחנות Google Play, בצורה חמקנית יותר מאי פעם.

הכירו את BankBot: סוס טרויאני שדולה פרטי כניסה לחשבונות בנק שהתפתח לאורך השנה, והופיע מחדש בגרסאות שונות בתוך החנות של Google Play ומחוצה לה. הגרסה שזיהינו ב-Google Play בתאריך 04.09.2017 היא הראשונה מבין כולן ששילבה בהצלחה את הצעדים האחרונים באבולוציה של BankBot: טשטוש משופר של הקוד, פונקציונאליות מתוחכמת של הפעולה הזדונית במכשיר, ומנגנון הדבקה ערמומי שמנצל לרעה את שירותי הנגישות (Accessibility Service) של מערכת האנדרואיד.

שימוש לרעה בשירות הנגישות של מערכת האנדרואיד נצפה בעבר במספר טרויאנים שונים, רובם מחוץ לחנות Google Play. ניתוחים שבוצעו לאחרונה ע"י SfyLabs ו-Zscaler אישרו את ההשערה שהנוכלים אשר מפיצים את וירוס ה-BankBot הצליחו להעלות ל-Google Play אפליקציה עם פונקציונליות שמנצלת את שירות הנגישות, אך ללא מטען של תוכנה זדונית לדליית פרטי בנק.

הגרסה הנוכחית, כוללת מטען של נוזקה השואבת את פרטי הכניסה לחשבונות הבנק של הקורבן, הצליח להתגנב אל תוך Google Play במסווה של משחק בשם Jewels Star Classic (חשוב לציין שהתוקפים עשו שימוש לרעה בשמה של סדרת משחקים פופולרית ולגיטימית בשם Jewels Star, מבית מפתחת המשחקים ITREEGAMER, ואין קשר בין מפתחת המשחקים לבין קמפיין זדוני זה).

הודענו לצוות האבטחה של Google על האפליקציה הזדונית, שהותקנה על ידי קרוב ל-5,000 משתמשים לפני הסרתה מהחנות.

איך זה עובד?

ברגע שהמשתמש התמים מוריד את המשחק Jewels Star Classic של מפתחת המשחקים GameDevTony (תמונה 1), הוא מקבל משחק אנדרואיד כמו כל משחק, אך עם כמה תוספים חבויים – מטען של תוכנה זדונית לבנקאות שאורב בתוך משאבי המשחק, ושירות זדוני שממתין להפעלה לאחר עיכוב קבוע מראש.

BankBot 1

תמונה 1 – האפליקציה הזדונית כפי שהתגלתה ב-Google Play

השירות הזדוני מופעל 20 דקות לאחר ההפעלה הראשונית של Jewels Star Classic. המכשיר הנגוע מציג התראה שמבקשת מהמשתמש לאפשר דבר הנקרא "Google Service" (הערה: ההתראה הזדונית מופיעה ללא קשר לפעילותו של המשתמש באותו רגע, וללא קשר גלוי למשחק).

לאחר הלחיצה על מקש האישור, שהיא הדרך היחידה להעלים את ההתראה, המשתמש מועבר לתפריט הנגישות של האנדרואיד, שבו מנוהלים שירותים הכוללים אפשרויות נגישות. בקרב מספר שירותים לגיטימיים, מופיע שירות חדש בשם "Google Service", שנוצר על ידי התוכנה הזדונית. לחיצה על השירות מציגה תיאור שנלקח מתנאי השירות המקוריים של Google.

BankBot 2

תמונה 2 – התראה שמבקשת מהמשתמש לאפשר את השירות "Google Service"

BankBot 3

תמונה 3 – השירות "Google Service" מופיע בקרב שירותי נגישות אנדרואיד

BankBot 4

תמונה 4 – תיאור לשירות הזדוני שנלקח מתנאי השירות של Google

ברגע שהמשתמש מחליט להפעיל את השירות, תוצג בפניו רשימה של הרשאות נדרשות: לצפות בפעולות שלך, לאחזר תוכן חלונות, להפעיל חיפוש בעזרת מגע, להפעיל נגישות רשת משופרת ולבצע מחוות (תמונה 5).

לחיצה על אישור מעניקה את הרשאות הנגישות לשירות הנגישות של התכונה הזדונית. בהענקת הרשאות אלה, המשתמש נותן לתוכנית הזדונית יד חופשיה - פשוטו כמשמעו – לבצע כל משימה שתצטרך על מנת להמשיך את פעילויותיה הזדוניות.

BankBot 5

תמונה 5 – הרשאות שנדרשות להפעלת "Google Service"

בפועל, לאחר אישור ההרשאות, המשתמש מאבד גישה למסך שלו לזמן קצר עקב "עדכון של Google Service" – מיותר לציין, לא עדכון של Google – שרץ ברקע (תמונה 6).

BankBot 6

תמונה 6 – מסך שמחביא פעילות זדונית

התוכנה הזדונית משתמשת במסך זה על מנת להחביא את הצעדים הבאים שלה – ללחוץ מטעם המשתמש בעזרת הרשאות הנגישות שהושגו קודם לכן. בזמן שהמשתמש ממתין לטעינת העדכון הפיקטיבי, התוכנה הזדונית מבצעת את המשימות הבאות:

  •  מאפשרת התקנה של אפליקציות ממקורות לא ידועים
  • מתקינה את BankBot מהנכסים (assets) ומפעילה אותו
  • מפעילה הגדרת מנהל מכשיר עבור BankBot
  • מגדירה את BankBot בתור אפליקציית המסרונים ברירת המחדל
  • משיגה הרשאה להופיע מעל אפליקציות אחרות

לאחר הביצוע המוצלח של משימות אלה, התוכנה הזדונית יכולה להתחיל לעבוד על היעד הבא שלה: גניבת פרטי כרטיס האשראי של הקורבן. בניגוד לגרסאות אחרות של BankBot, בהן הטרויאני מתמקד על רשימה נרחבת של אפליקציות בנק מסוימות ומחקה את טפסי ההתחברות שלהן על מנת לאסוף את פרטי ההתחברות שהוזנו, גרסה זו מתמקדת על Google Play באופן בלעדי – אפליקציה שכל משתמש אנדרואיד התקין מראש במכשירו.

ברגע שהמשתמש מפעיל את האפליקציה של Google Play, ה-BankBot מצטרף ומופיע מעל האפליקציה הלגיטימית עם טופס מזויף שמבקש את פרטי כרטיס האשראי של המשתמש המבקש (תמונה 7).

BankBot 7

תמונה 7 – טופס מזויף שמבקש את פרטי כרטיס האשראי של המשתמש

במידה והמשתמש נופל בפח ומזין את פרטי כרטיס האשראי שלו בטופס המזויף, התוקפים ניצחו למעשה. עקב העובדה ש-BankBot הגדיר את עצמו בתור אפליקציית המסרונים ברירת המחדל, ביכולתו לשבש את כל תקשורת המסרונים שעוברת במכשיר הנגוע. זה מאפשר לתוקפים לעקוף אימות דו-שלבי מבוסס-מסרונים בחשבון הבנק של הקורבן – המכשול הפוטנציאלי האחרון בינם לבין כספו של הקורבן.

מה הופך אותו למסוכן כל כך?

בקמפיין זה, הנוכלים הרכיבו ערכה של טכניקות שהפכו יותר ויותר פופולריות בקרב מפתחי התוכנות הזדוניות לאנדרואיד – ניצול לרעה של שירות הנגישות של מערכת האנדרואיד, התחזות ל-Google, וקביעת מד-זמן אשר מעכב את תחילת הפעילות הזדונית על מנת להתחמק מאמצעי האבטחה של Google.

ביחד, הטכניקות מקשות על הקורבן לזהות את האיום בזמן. מכיוון שהתוכנה הזדונית מתחזה ל-Google וממתינה 20 דקות לפני הצגת ההתראה הראשונה, לקורבן יש סיכוי קטן מאוד לחבר בין הפעילות שלו לבין אפליקציית Jewel Star Classic שאותו הוריד לאחרונה. מעבר לכך, השמות השונים והרבים שבהם משתמשת התוכנה הזדונית לאורך תהליך הזיהום מסבכים במידה משמעותית את המאמצים לאתר ולהסיר אותה ידנית.

כיצד ניתן לנקות את המכשיר הנגוע?

במידה ואתם מורידים אפליקציות שונות ורבות מחנות האפליקציות Google Play וממקומות אחרים, ייתכן ותרצו לבדוק שלא הושטתם את ידכם אל התוכנה הזדונית הזאת.
בדיקה שהמשחק Jewels Star Classic אינו קיים במכשיר איננה בדיקה מספקת, מכיוון שהתוקפים משנים לעיתים קרובות את האפליקציות שמנוצלות לרעה לטובת ההפצה של BankBot. על מנת לבדוק אם המכשיר שלכם נפגע, אנחנו ממליצים לבדוק את הסמנים הבאים:

  • נוכחותה של אפליקציה בשם "Google Update" (מופיעה בתמונה 8 ונמצאת תחת Settings > Application manager/Apps > Google Update)
  • מנהל מכשיר פעיל בשם "System Update" (מופיע בתמונה 9 ונמצא תחת Settings > Security > Device Administrators).
  • הופעה חוזרת ונשנית של ההתראה "Google Service" (מופיעה בתמונה 2).

BankBot 8

תמונה 8 – האפליקציות הזדוניות במנהל האפליקציות (Application manager)

BankBot 9

תמונה 9 – BankBot מוסווה בתור System update תחת מנהלי מכשיר פעילים

במידה ומצאתם אחד מהסמנים שהוזכרו למעלה, ייתכן והמכשיר שלכם נגוע בגרסה זו של BankBot.
על מנת לנקות את המכשיר שלכם באופן ידני, תצטרכו תחילה להשבית את זכויות מנהל המכשיר עבור "System update", ולאחר מכן להסיר את ההתקנה של "Google Update" והאפליקציה הטרויאנית הנלווית.

עם זאת, מציאת האפליקציה הטרויאנית שהתחילה את הזיהום (במקרה שלנו, Jewels Star Classic) מוכיחה כמשימה בעייתית, עקב העיכוב באורך 20 דקות שנקבע לפעילות הזדונית, וכמו כן עקב העובדה שהאפליקציה עובדת בהתאם לציפיות. על מנת לזהות ולהסיר את האיום, על כל רכיביו, אנחנו ממליצים להשתמש בפתרון אבטחה סלולרית אמין.

מוצרי האבטחה של חברת ESET מזהים וחוסמים גרסה זו של BankBot בתור Android/Spy.Banker.LA.

איך להישאר בטוחים?

מלבד השימוש בפתרון אבטחה אמין למובייל, ישנם דברים אחרים שניתן לעשות כדי לא לפול קורבן לתוכנות זדוניות באנדרואיד:

  • במידת האפשר, יש להעדיף חנויות אפליקציות רשמיות על פני חלופיות. למרות שהיא מלווה בבעיות משלה, Google Play משתמשת במנגנוני אבטחה מתקדמים; זה לאו דווקא המקרה בחנויות חלופיות.
  • במידה ויש ספק לגבי התקנת אפליקציה, בדקו את הפופולריות שלה לפי מספר התקנות, דירוגים ותוכן הביקורות.
  • לאחר שהפעלתם כל אפליקציה שהתקנתם במכשיר הסלולרי שלכם, שימו לב להרשאות שהיא מבקשת מכם. במידה ואפליקציה מבקשת הרשאות פולשניות – על אחת כמה וכמה אם הן קשורות בנגישות – יש לעבור עליהן בקפידה ובזהירות ולהעניק אותן רק במידה ואתם בטוחים לחלוטין באמינותה של האפליקציה.

מהו BankBot?

זוהה לראשונה על ידי חברת ESET בתאריך 26.12.2016, ונותח לראשונה על ידי Dr. Web, BankBot הוא סוס טרויאני שפעיל באנדרואיד וניתן לשליטה מרחוק, וביכולתו לאסוף פרטי בנק בעזרת טפסי התחברות מזויפים במספר אפליקציות, לשבש הודעות טקסט על מנת לעקוף אימות דו-שלבי, ולהציג התראות דחיפה (push notification) לא רצויות.

זמן קצר לאחר גילוי האפליקציות שהפכו לטרויאניות עקב BankBot בחנות האפליקציות Google Play בתחילת 2017, אימתנו שמקורן של האפליקציות הזדוניות הינו בקוד מקור שהפך ציבורי בפורומים מחתרתיים בדצמבר 2016. הזמינות הציבורית של הקוד הובילה לעלייה הן במספר והן בתחכום של סוסים טרויאניים מתחום הבנקאות במכשירים סלולריים.

חוקרי חברת האבטחה ESET גילו בחנות האפליקציות הרשמית של גוגל אפליקציות מזויפות הגונבות פרטי כניסה לתוכנת סחר במטבעות וירטואליים.

משתמשים של התוכנה Poloniex הפופולרית, המשמשת לסחר במטבעות וירטואליים, נפלו קורבן לשתי אפליקציות לגניבת סיסמאות, שהציגו את עצמן בחנות האפליקציות של Google במסווה של תוכנות סחר לגיטימיות. חוץ מגניבת סיסמאות הגישה ל-Poloniex, הנוכלים שמאחורי התוכנות המזויפות גם ניסו לגרום לקורבנות לתת להם גישה לחשבונות ה-Gmail שלהם.

Poloniex היא אחת מהתוכנות המובילות בעולם לסחר במטבעות וירטואליים, וניתן לסחור בה ביותר מ-100 מטבעות וירטואליים. זה לבד הופך את התוכנה למטרה אטרקטיבית עבור נוכלים מכל הסוגים, אך במקרה זה העבריינים ניצלו את העובדה שלא הייתה אפליקציה רשמית.

בעקבות הרעש שעוררו המטבעות הוירטואליים, פושעי סייבר מנסים לתפוס כל הזדמנות שהם יכולים – בין אם זה ניצול כוח המחשב של המשתמשים כדי לכרות מטבעות וירטואליים דרך דפדפנים או באמצעות הדבקת מחשבים לא מוגנים, ובין אם באמצעות תרמיות שונות המשתמשות באתרי ובאפליקציות פישינג מזויפות.

האפליקציות הזדוניות

האפליקציה הזדונית הראשונה התגנבה לחנות האפליקציות של Google בשם "POLONIEX", תחת מפתח בשם "Poloniex". מה-29 לאוגוסט ועד ה-19 בספטמבר, האפליקציה הותקנה ע"י 5000 משתמשים, זאת למרות דירוגים מעורבים וביקורות לא-מחמיאות.

האפליקציה השנייה, "POLONIEX EXCHANGE" של המפתח "POLONIEX COMPANY", הופיעה בחנות האפליקציות של Google ב-15 לאוקטובר והגיעה ל-500 התקנות לפני שהוסרה מהחנות לאחר הודעה מטעם ESET.

בנוסף על ההודעה לGoogle-, הודיעו חוקרי ESET גם ל-Poloniex על המתחזים הזדוניים.

crypto 1

(1) האפליקציות המזויפות כפי שנראו בחנות האפליקציות של Google

crypto 2 2

(2) ביקורות על אחת האפליקציות בחנות האפליקציות של Google

כיצד הן פועלות?

כדי להשתלט בהצלחה על חשבון Poloniex באמצעות האפליקציה הזדונית, התוקפים צריכים תחילה להשיג את נתוני הגישה לחשבון. לאחר מכן, עליהם להשיג גישה לחשבון הדואר האלקטרוני הקשור לחשבון ה-Poloniex הפרוץ, זאת כדי לשלוט בהתראות בנוגע להתחברויות והעברות לא-מאושרות. לבסוף, על התוקפים לגרום לכך שהאפליקציה שלהם תיראה כאילו היא מתפקדת, כדי לעורר כמה שפחות חשד במהלך התהליך.

שתי האפליקציות משתמשות בשיטה הזו כדי להגיע למטרה זו.

גניבת נתוני הגישה מתרחשת ברגע בו המשתמש מוריד את אחת האפליקציות. התוכנה הזדונית מציגה מסך מזויף בו היא מבקשת את נתוני הגישה ל-Poloniex (תמונה 3). אם המשתמש מזין את פרטי הכניסה ולוחץ על "התחבר", נתוני הגישה נשלחים לתוקף.

במידה והמשתמש לא אפשר את האימות הדו-שלבי (2-factor authentication, 2FA) בחשבון ה-Poloniex שלו, התוקפים יקבלו גישה לחשבון זה. זה אומר שהתוקפים יכולים לבצע העברות בשמו של המשתמש, לשנות את ההגדרות שלו, או אפילו לנעול אותו מחוץ לחשבון באמצעות שינוי הסיסמה שלו.

אם המשתמש כן משתמש באימות דו-שלבי, החשבון שלו מוגן מפני הפולשים. זאת מכיוון ש-Poloniex מציעה למשתמשים אימות דו-שלבי דרך Google Authenticator, שמייצרת סיסמאות כניסה אקראיות שנשלחות למשתמש באמצעות הודעת SMS, שיחה קולית או דרך האפליקציה – כולם מקומות שאינם נגישים לתוקפים.

crypto 3

(3) מסך כניסה מזויף שאוסף נתוני גישה ל-Poloniex

אם הנוכלים הצליחו, הם מתחילים לעבוד על קבלת גישה לחשבון ה-Gmail של המשתמש. המשתמש רואה הודעה, שנראית כאילו היא מטעם Google, המבקשת ממנו להתחבר לחשבון ה-Google שלו "בשביל בדיקת אימות דו-שלבית" (תמונה 4). לאחר שהמשתמש לוחץ על "התחבר", האפליקציה הזדונית מבקשת הרשאה לצפייה בהודעות הדוא"ל של המשתמש, בהגדרותיו ובנתוני פרופיל בסיסיים (תמונה 5). אם המשתמש נותן את ההרשאות, האפליקציה מקבלת גישה לתיבת הדואר הנכנס שלו.

כשיש להם גישה גם לחשבון ה-Poloniex של המשתמש וגם לחשבון ה-Gmail הקשור אליו, התוקפים יכולים לבצע העברות בשמו של המשתמש ולמחוק כל התראה בנוגע לכניסות והעברות לא-מאושרת מתיבת הדואר הנכנס שלהם.

crypto 4

(4) הודעה המתחזה ל-Google ומבקשת מהמשתמש להתחבר ל-Gmail

crypto 5

(5) האפליקציה הזדונית מבקשת גישה לתיבות הדוא"ל

בשלב האחרון האפליקציה מפנה את המשתמש לאתר הבית האמיתי של Poloniex, שם הוא מתבקש להתחבר לחשבון (תמונה 6), במטרה לגרום לאפליקציה להיראות כאילו היא אכן מתפקדת. לאחר שהמשתמש מתחבר הוא יכול להשתמש באתר Poloniex האמיתי. משם והלאה, בכל פעם שהאפליקציה תופעל היא תפתח את אתר Poloniex האמיתי.

crypto 6

(6) הגרסה המובייל של אתר Poloniex האמיתי נפתחת ע"י האפליקציה הזדונית

דרך אחרת בה התוקפים נוקטים כדי להימנע מלהתגלות – ע"י מנתחי בטיחות, במקרה הזה – היא באמצעות מיסוך הכתובות אליהם נשלחים נתוני הגישה הגנובים, באמצעות טריקים של תווי יוניקוד. כתוצאה מכך, הכתובות hxxp://połoniex.com ו- hxxp://poloniėx.com/עשויות להיראות לגיטימיות בעת שסוקרים אותן באופן ידני.

כיצד להתגונן?

אם אתם משתמשים ב-Poloniex והתקנתם את אחת מהאפליקציות הזדוניות האלה, התחילו בהסרה שלהן. אל תשכחו לשנות גם את הסיסמה ל-Poloniex וגם ל-Gmail, ושקלו שימוש באימות דו-שלבי במידה והאפשרות קיימת.

אלו הדברים שאתם יכולים לעשות כדי להימנע מנפילה למלכודותיהם של עברייני רשת בעתיד:

  • וודאו שהשירות בו אתם משתמשים אכן מציע אפליקציה לטלפון הנייד – אם זהו המקרה, האפליקציה אמורה להיות מחוברת לאתר האינטרנט הרשמי של השירות.
  • שימו לב לדירוגי האפליקציה ולביקורות עליה.
  • היזהרו מאפליקציות צד-שלישי שמציגות התראות וחלונות הנראים כאילו הם מקושרים ל-Google – עברייני סייבר מרבים לנצל את האמון שמשתמשים נותנים ב-Google.
  • השתמשו באימות דו-שלבי כשכבת הגנה נוספת (ולעיתים קרובות אף הכרחית).
  • השתמשו בפתרון אבטחה אמין למובייל.

 

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2017, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום