Как мобильная угроза попала в белый список приложений Qihoo 360

2016-04-15 7190
Команда компании Check Point, специализирующаяся на предотвращении мобильных угроз, давно подчеркивала, насколько опасно устанавливать приложения из других источников, а не из официальных магазинов приложений Google Play и App Store

Даже в известных сторонних магазинах приложений проблема безопасности становится очень актуальной.

Хорошим примером является Qihoo 360, китайская компания, известная своими антивирусными продуктами и магазином мобильных приложений. Непреднамеренно добавленные в белый список вредоносные программы могут выступать как часть сложной кибератаки.

Комплексная атака из шпионского романа

Комплексная атака из шпионского романа

Сама атака была сложной:

1. Добавление вредоносных приложений в белый список

Киберпреступники подкупали работников китайской компании-разработчика игр, чтобы они включили вредоносную программу в магазин Qihoo 360 наряду с надежными безопасными приложениями.

Эти приложения проходили проверку Qihoo и добавлялись в белый список, позволяя скрытой угрозе запускаться на мобильных устройствах и компьютерах, защищаемых широкораспространенным бесплатным антивирусом Qihoo. После выполнения данной фазы, киберпреступники могли инициировать вредоносную активность.

2. Заражение продавца/магазина

Атаки были организованы с использованием Taobao.com - популярной китайской площадки, которая похожа на eBay, но работает по-другому. В Taobao.com покупатели совершают покупки отправляя изображение объекта продавцу используя приложение для обмена сообщениями Aliwanwang. Затем покупатель передает продавцу денежные средства с помощью Alipay - платежной платформы Aliwanwang.

Злоумышленники, замаскированные под покупателей Taobao.com, отправляли продавцам действительные изображения, которые содержали инъекцию добавленного в белый список Qihoo трояна. Затем продавцы открывали изображение на компьютере, и их системы заражались трояном, которые не обнаруживался антивирусом Qihoo.

3. Сбор учетных данных для финансовой атаки

Для последней стадии, злоумышленники запрашивали возмещение от продавца, вынуждая его войти в учетную запись Alipay. Троян затем фиксировал нажатия клавиатуры и перехватывал учетные данные, позволяя киберпреступникам воровать деньги из аккаунта продавца.

Почему это важно для мобильной безопасности?

Есть два основных момента в данной атаке, которые требуют дальнейшего обсуждения.

Во-первых - как даже примитивная вредоносная программа может проникнуть в “безопасную” сеть. Даже известные вредоносные программы имеют возможность нанести ущерб. Так как простые антивирусы используемую базы данных сигнатур известных вредоносных программ, они не могут полагаться на нее в качестве единственного уровня защиты от вредоносных программ.

Многие антивирусы используют подход с использованием белых списков для того, что избежать ложных срабатываний, но как показывает случай с Qihoo, данные списки также могут быть скомпрометированы.

Второй и самый интересный момент - различные методы защиты пользователей в сторонних магазинах приложений. Инцидент с Qihoo показывает, что белый список можно легко обойти, оставив пользователя один на один с атаками. Поэтому магазины приложений, которые Вы считаете надежными, на самом деле могут представлять серьезные риски безопасности.

Исследователь по информационной безопасности Ави Башан (Avi Bashan) недавно продемонстрировал, как вредоносные программы могут постоянно проникать в магазины приложений Google Play и App Store и объясняет, почему защита данных площадок является недостаточной.

Мы знаем, что картина развития мобильных угроз часто отражает ситуацию, которая происходит и с персональными компьютерами. Если вредоносная программа может быть установлена на машинах, защищаемых Qihoo 360 и может проникнуть в магазин приложений, то становится очевидно, насколько важно избегать сторонних площадок или по крайне мере полагаться на магазины с надежными мерами защиты.

Тем не менее, даже Google Play и App Store не предоставляют 100-процентный иммунитет от угроз. Это лишь вопрос времени, когда злоумышленники переключат внимание на более доверенные и популярные площадки.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте