אפליקציות מזויפות לסחר במטבעות וירטואליים ב-Google Play גונבות לכם סיסמאות

חוקרי חברת האבטחה ESET גילו בחנות האפליקציות הרשמית של גוגל אפליקציות זדוניות הגונבות פרטי כניסה לתוכנת סחר במטבעות וירטואליים
משתמשים של התוכנה Poloniex הפופולרית, המשמשת לסחר במטבעות וירטואליים, נפלו קורבן לשתי אפליקציות לגניבת סיסמאות, שהציגו את עצמן בחנות האפליקציות של Google במסווה של תוכנות סחר לגיטימיות. חוץ מגניבת סיסמאות הגישה ל-Poloniex, הנוכלים שמאחורי התוכנות המזויפות גם ניסו לגרום לקורבנות לתת להם גישה לחשבונות ה-Gmail שלהם.

Poloniex היא אחת מהתוכנות המובילות בעולם לסחר במטבעות וירטואליים, וניתן לסחור בה ביותר מ-100 מטבעות וירטואליים. זה לבד הופך את התוכנה למטרה אטרקטיבית עבור נוכלים מכל הסוגים, אך במקרה זה העבריינים ניצלו את העובדה שלא הייתה אפליקציה רשמית.

בעקבות הרעש שעוררו המטבעות הוירטואליים, פושעי סייבר מנסים לתפוס כל הזדמנות שהם יכולים – בין אם זה ניצול כוח המחשב של המשתמשים כדי לכרות מטבעות וירטואליים דרך דפדפנים או באמצעות הדבקת מחשבים לא מוגנים, ובין אם באמצעות תרמיות שונות המשתמשות באתרי ובאפליקציות פישינג מזויפות.

האפליקציות הזדוניות

האפליקציה הזדונית הראשונה התגנבה לחנות האפליקציות של Google בשם "POLONIEX", תחת מפתח בשם "Poloniex". מה-29 לאוגוסט ועד ה-19 בספטמבר, האפליקציה הותקנה ע"י 5000 משתמשים, זאת למרות דירוגים מעורבים וביקורות לא-מחמיאות.

האפליקציה השנייה, "POLONIEX EXCHANGE" של המפתח "POLONIEX COMPANY", הופיעה בחנות האפליקציות של Google ב-15 לאוקטובר והגיעה ל-500 התקנות לפני שהוסרה מהחנות לאחר הודעה מטעם ESET.


כיצד הן פועלות?

כדי להשתלט בהצלחה על חשבון Poloniex באמצעות האפליקציה הזדונית, התוקפים צריכים תחילה להשיג את נתוני הגישה לחשבון. לאחר מכן, עליהם להשיג גישה לחשבון הדואר האלקטרוני הקשור לחשבון ה-Poloniex הפרוץ, זאת כדי לשלוט בהתראות בנוגע להתחברויות והעברות לא-מאושרות. לבסוף, על התוקפים לגרום לכך שהאפליקציה שלהם תיראה כאילו היא מתפקדת, כדי לעורר כמה שפחות חשד במהלך התהליך.

שתי האפליקציות משתמשות בשיטה הזו כדי להגיע למטרה זו.

גניבת נתוני הגישה מתרחשת ברגע בו המשתמש מוריד את אחת האפליקציות. התוכנה הזדונית מציגה מסך מזויף בו היא מבקשת את נתוני הגישה ל-Poloniex (תמונה 3). אם המשתמש מזין את פרטי הכניסה ולוחץ על "התחבר", נתוני הגישה נשלחים לתוקף.

במידה והמשתמש לא אפשר את האימות הדו-שלבי (2-factor authentication, 2FA) בחשבון ה-Poloniex שלו, התוקפים יקבלו גישה לחשבון זה. זה אומר שהתוקפים יכולים לבצע העברות בשמו של המשתמש, לשנות את ההגדרות שלו, או אפילו לנעול אותו מחוץ לחשבון באמצעות שינוי הסיסמה שלו.

אם המשתמש כן משתמש באימות דו-שלבי, החשבון שלו מוגן מפני הפולשים. זאת מכיוון ש-Poloniex מציעה למשתמשים אימות דו-שלבי דרך Google Authenticator, שמייצרת סיסמאות כניסה אקראיות שנשלחות למשתמש באמצעות הודעת SMS, שיחה קולית או דרך האפליקציה – כולם מקומות שאינם נגישים לתוקפים.

אם הנוכלים הצליחו, הם מתחילים לעבוד על קבלת גישה לחשבון ה-Gmail של המשתמש. המשתמש רואה הודעה, שנראית כאילו היא מטעם Google, המבקשת ממנו להתחבר לחשבון ה-Google שלו "בשביל בדיקת אימות דו-שלבית" (תמונה 4). לאחר שהמשתמש לוחץ על "התחבר", האפליקציה הזדונית מבקשת הרשאה לצפייה בהודעות הדוא"ל של המשתמש, בהגדרותיו ובנתוני פרופיל בסיסיים (תמונה 5). אם המשתמש נותן את ההרשאות, האפליקציה מקבלת גישה לתיבת הדואר הנכנס שלו.

כשיש להם גישה גם לחשבון ה-Poloniex של המשתמש וגם לחשבון ה-Gmail הקשור אליו, התוקפים יכולים לבצע העברות בשמו של המשתמש ולמחוק כל התראה בנוגע לכניסות והעברות לא-מאושרת מתיבת הדואר הנכנס שלהם.

בשלב האחרון האפליקציה מפנה את המשתמש לאתר הבית האמיתי של Poloniex, שם הוא מתבקש להתחבר לחשבון (תמונה 6), במטרה לגרום לאפליקציה להיראות כאילו היא אכן מתפקדת. לאחר שהמשתמש מתחבר הוא יכול להשתמש באתר Poloniex האמיתי. משם והלאה, בכל פעם שהאפליקציה תופעל היא תפתח את אתר Poloniex האמיתי.

דרך אחרת בה התוקפים נוקטים כדי להימנע מלהתגלות – ע"י מנתחי בטיחות, במקרה הזה – היא באמצעות מיסוך הכתובות אליהם נשלחים נתוני הגישה הגנובים, באמצעות טריקים של תווי יוניקוד. כתוצאה מכך, הכתובות hxxp://połoniex.com ו- hxxp://poloniėx.com/עשויות להיראות לגיטימיות בעת שסוקרים אותן באופן ידני.

כיצד להתגונן?

אם אתם משתמשים ב-Poloniex והתקנתם את אחת מהאפליקציות הזדוניות האלה, התחילו בהסרה שלהן. אל תשכחו לשנות גם את הסיסמה ל-Poloniex וגם ל-Gmail, ושקלו שימוש באימות דו-שלבי במידה והאפשרות קיימת.

אלו הדברים שאתם יכולים לעשות כדי להימנע מנפילה למלכודותיהם של עברייני רשת בעתיד:
וודאו שהשירות בו אתם משתמשים אכן מציע אפליקציה לטלפון הנייד – אם זהו המקרה, האפליקציה אמורה להיות מחוברת לאתר האינטרנט הרשמי של השירות.
שימו לב לדירוגי האפליקציה ולביקורות עליה.
היזהרו מאפליקציות צד-שלישי שמציגות התראות וחלונות הנראים כאילו הם מקושרים ל-Google – עברייני סייבר מרבים לנצל את האמון שמשתמשים נותנים ב-Google.
השתמשו באימות דו-שלבי כשכבת הגנה נוספת (ולעיתים קרובות אף הכרחית).
השתמשו בפתרון אבטחה אמין למובייל.

אודות ESET
ESET היא חברת אבטחת המידע הרביעית בגודלה בעולם הנחשבת לחלוצת תחום האנטי וירוס, עם יותר מ-100 מיליון משתמשים מוגנים ופריסה במעל ל- 200 מדיניות ברחבי העולם.
ESET מפתחת ומייצרת פתרונות הגנה המצטיינים בזיהוי ומיועדים למגזר הפרטי והעסקי כאחד וכוללים הגנה מפני ווירוסים, מתקפות מקוונות, גניבת זהויות, הגנה על תשלומים ברשת, הצפנת מידע עסקי, הקשחת תהליכי התחברות לרשת ועוד.
בין לקוחותינו ניתן למנות את משרדי ממשלה ועיריות, מוסדות חינוך ובריאות, חברות היי-טק ועסקים במגוון תחומים רחב. פתרונות האנטי וירוס של ESET הם הנמכרים ביותר בישראל בשוק הפרטי.