reklama

Aplikacja mobilna wykrada jednorazowe hasła SMS-owe, uzupełnia atak Man-in-the-Browser

Strona główna Aktualności

O autorze

Kobieta o wielu talentach, użytkowniczka OS X kochająca fotografię, kuchnię wschodnią, ciężką muzykę i poprawną polszczyznę.

Specjaliści badają kolejny złośliwy program, który ma zaszkodzić użytkownikom Androida. CERT Polska poinformował, że do jego laboratorium trafiła próbka ataku celującego w polskich użytkowników bankowości mobilnej. E-SECURITY (e-security.apk) udaje, że zwiększa bezpieczeństwo transakcji internetowych, ale doskonale radzi sobie z wykradaniem jednorazowych haseł przysyłanych SMS-em przez bank, czym uzupełnia atak znany jako Man-in-the-Browser.

Infekcja zaczyna się na komputerze użytkownika. Jeśli odpowiedni trojan z rodziny MitB dostanie się do przeglądarki, przy odwiedzaniu strony banku zostanie wyświetlone powiadomienie o możliwości instalacji „certyfikatu E-Security”, który „pozwoli wykorzystywać szyfrowanie algorytmem AES o długości klucza 256 bitów” na urządzeniu. Dla zmylenia ofiary na liście systemów do wyboru figuruje nie tylko Android. Okno powiadomienia prosi o numer telefonu. Jeśli użytkownik go poda, SMS-em udającym wiadomość od banku dostanie odnośnik do spreparowanej aplikacji. Po jej instalacji pokaże się unikalny, generowany na podstawie IMEI kod, który należy podać także w przeglądarce — wtedy przestępcy są pewni, że ktoś się nabrał i mogą połączyć jego jednorazowe hasła z danymi logowania do banku. Szkodnik może otrzymywać komendy sterujące za pośrednictwem SMS-ów, które skrzętnie ukrywa przed właścicielem telefonu.

Man-in-the-browser daje spore pole do manewru w połączeniu z aplikacją wykradającą jednorazowe hasła. Atak można wykorzystać aby podmieniać wygląd odwiedzanych stron, modyfikować transakcje bankowe (na przykład zmienić numer konta odbiorcy) lub dodawać kolejne transakcje. Do tej pory dodatkowe metody weryfikacji transakcji, jak na przykład właśnie jednorazowe hasła SMS-owe, były jednym ze skuteczniejszych sposobów walki z tego typu atakami.

© dobreprogramy
reklama

Komentarze

reklama
Polecamy w WP TechnologieWP TechnologieNie wiemy, co jemy - państwowe badania to kropla w morzu. Projekt FoodRentgen chce to zmienić