אפליקציות בנקאיות מזויפות בחנות גוגל מערימות על משתמשים בעולם
האפליקציות מתחזות לבנקים מניו-זילנד, אוסטרליה, בריטניה, שוויץ ופולין ● עם שימוש בטפסים מזויפים, האפליקציות מדייגות את פרטי כרטיס האשראי, או את נתוני הגישה לשירותים הלגיטימיים, שאליהם הן מתחזות
חוקרי ESET גילו קבוצה נוספת של אפליקציות בנקאיות מזויפות שהצליחו להגיע אל חנות האפליקציות הרשמית של גוגל, Google Play.
האפליקציות מתחזות לשישה בנקים מניו-זילנד, אוסטרליה, בריטניה, שוויץ ופולין ול-Bitpanda, בורסה למטבעות דיגיטליים שפועלת באוסטריה. באמצעות שימוש בטפסים מזויפים, האפליקציות הזדוניות מדייגות את פרטי כרטיס האשראי ו/או את נתוני הגישה לשירותים הלגיטימיים אליהם הן מתחזות.
הזיופים הזדוניים הועלו לחנות Google Play ביוני 2018 והותקנו אלפי פעמים – לפני שגוגל הורידה אותם מהחנות. האפליקציות הועלו תחת שמות מפתחים שונים, כשכל אחד מהם משתמש בסוג הסוואה שונה. אלא שהדמיון בקוד המקור של האפליקציות מראה שככל הנראה מדובר בעבודה של תוקף יחיד. ייתכן שהבלבול שיצר התוקף תרם לכך שהאפליקציות הצליחו להתגנב לחנות.
המטרה של האפליקציות הזדוניות האלה היא גניבת מידע רגיש מידיהם של משתמשים תמימים. חלק מהאפליקציות מנצלות את העובדה שלשירות אין אפליקציה רשמית (כמו במקרה של Bitpanda), בעוד שהאחרות מנסות להערים על המשתמשים באמצעות התחזות לאפליקציות הרשמיות הקיימות.
כיצד האפליקציות פועלות?
למרות שלאפליקציות אין דרך פעולה אחידה, כולן מציגות טפסים המבקשים את פרטי האשראי ו/או את נתוני הגישה לבנק, או השירות הרלוונטיים. אם המשתמש ממלא טופס כזה, הנתונים שמסר נשלחים לשרת של התוקף. לאחר מכן, האפליקציות מציגות לקורבן הודעת "תודה רבה", ומרגע זה הן לא עושות יותר דבר.
חברת אבטחת המידע מציעה כמה טיפים על מנת להימנע מאפליקציות בנקאות מזויפות: "אם אתם חושדים שהתקנתם את אחת מהאפליקציות הזדוניות האלה, אנחנו ממליצים להסיר אותן מיידית", נמסר, "בנוסף, שנו את הקוד הסודי לכרטיס האשראי ואת כל הסיסמאות לשירותי הבנקאות המקוונים שלכם, ובידקו האם יש פעילות חשודה בחשבונות הבנק שלכם. אם הבחנתם בתנועות חריגות, צרו קשר עם הבנק שלכם. אם אתם משתמשים בשירותי הבורסה Bitpanda – בדקו האם קיימת פעילות חריגה חשבונותיכם ושנו את הסיסמאות שלכם".
על פי חברת האבטחה, "כדי שלא ליפול קורבן לדיוג על ידי אפליקציות בנקאות מזויפות אחרות, השתמשו באפליקציות בנקאיות ובאפליקציות פיננסים אחרות רק אם הורדתם אותן דרך קישור מהאתר הרשמי של הבנק או השירות הפיננסי; הורידו אפליקציות רק מחנות Google Play; שימו לב למספר ההורדות של האפליקציה, לדירוג שניתן לה ולביקורות שנכתבו עליה; תנו את הפרטים הרגישים שלכם בטפסים מקוונים רק אם אתם בטוחים שמדובר בטופס בטוח ולגיטימי; עדכנו את מכשיר האנדרואיד שלכם והשתמשו בפתרון אבטחה נייד אמין".
תגובות
(0)