Android Overlay malware – 2. díl

Je tomu více než rok, co se více sofistikovaný overlay malware objevil v ČR a zaútočil hned na několik mobilních bankovních aplikací, přesněji řečeno na uživatele těchto aplikací.

Overlay malware na platformě Android se hojně vyskytuje už mnoho let. V případě bankovního malware, který intenzivně sleduji od roku 2014 jsem viděl postupný přesun útoků na klienty z desktopového malware na Android malware.

Např. v roce 2015 kdy webový inject malwaru na PC zobrazoval odkaz na stažení malware pro Android, tehdy primárně určeného k zachytávání SMS. Jen pro připomenutí fake Seznam OTP:

 

 

Nakonec došlo k úplnému přesunu malware útoků na Android a jen zachytávání SMS už nestačilo, minimálně v ČR, protože situaci ve světě tak detailně nesleduji  (výjimkou byl snad jen PC malware Backswap s inovativním přístupem k webové injektáži simulací chování uživatele). Díky zneužití Accessibility Service, viz. Malware may abuse Android’s accessibility service to bypass security enhancements (defacto tato změna přístupu byla vynucena změnou ve verzi Android 5.0, protože už nebylo možné dále používat do té doby hojně využívanou techniku pro zjištění aplikace na popředí)  začalo od roku 2017 i do našich končin přicházet stále více overlay malware, byť byl zpočátku graficky špatný a tudíž lehce rozpoznatelný.

Když jsem psal článek „Android Overlay malware – strašák českých bank?“ nevěděl jsem, jak se po poslední 3. velké vlně útoků (2/2019) bude situace v ČR vyvíjet, jaká technická opatření přijmou banky či co udělá Google.

Spustit nějaký známý overlay malware nemá dnes příliš smysl. Google Play Protect se s ním už teď vůbec nemaže, deaktivuje ho a smaže. Stejně tak s ním naloží i různé antiviry a ochrany výrobců zařízení. Zkoušet známý malware je tedy k ničemu.

No nedalo mi to a zkusil jsem si upravit overlay malware demo se známým vektorem útoku (view injection), a použít jej proti 15 aplikacím mobilního bankovnictví v ČR a jaké bylo mé překvapení, když ani jedna z testovaných aplikací mobilního bankovnictví neuspěla, viz odkaz video. Hned z kraje musím uklidnit všechny, co neznají, jak bankovní systémy fungují, že překonání jedné vrstvy neznamená automaticky, že útočník obejde další bezpečnostní vrstvy, které jsou v pozadí spolu s procesy na zachycení podvodných plateb.

Záleží tedy vůbec na ochraně proti overlay malware? Je to stejné, jako když zabezpečíte koncovou stanici, ale necháte ji přístupnou z Internetu, tj. jedna bezpečnostní vrstva, kterou je ochrana perimetru, chybí, ale i bez té vrstvy lze ochránit před útokem a může to stačit. Ochrana proti overlay malware je tedy také důležitá a některé banky se asi snažily ji řešit (neboť jsem narazil na použití RASP), ale zjevně tu ochranu neotestovaly důkladně z hlediska bezpečnosti, a tak nezjistily, že to moc nefunguje.

RASP (app shielding) je něco podobného jak WAF (webový aplikační firewall), pomáhá to řešit obecně známé útoky, takže i když je aplikace zranitelná, dokáže řadě útoků zabránit. Má to ale i opačný důsledek a to takový, že se vlastník aplikace přestane zabývat její bezpečností, protože už má onu univerzální ochranu. V případě RASP, kde je dobře udělaná ochrana proti repackingu(svůj kód už neuvidíte), je to oproti WAF ještě horší, protože se dostáváme do paradoxní situace, že už nejsme pány své aplikace.

Svěřili jsme bezpečnost aplikace někomu jinému, komu bezvýhradně důvěřujeme. Důvěra je dobrá věc ale ne slepá důvěra. K tomu ještě můžeme přidat zajímavý, ale očekávatelný jev, kdy RASP začali používat i tvůrci malware, aby nebylo možné jejich škodlivý kód jednoduše odhalit.

Je možné, že tyto útoky vyřeší i tlak Googlu na výrobce zařízení s Android OS, aby zlepšili svou SW podporu, tj. nekončila jejich podpora příliš brzy a nová zařízení měla již poslední verze OS Android. Nicméně na to bych nesázel a stejně tak bych nesázel na to, že bezpečnost si koupím v úhledném balíčku a nebudu se muset o nic starat, protože místo Jamese Bonda tam mohu dostat Johnyho Englishe😊.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

  1. Petr Dvořák

    Doplním jen rychlý komentář k problematice RASP – ta je totiž bohatší a podle mě velmi zajímavá.

    Některé RASP technologie opravdu používají poměrně agresivní techniku k tomu, jak skrýt (nebo spíše „zapouzdřit“) celý kód aplikace. Někdy se jedná o techniky „dexpacking“ (kdy dochází k načítání šifrovaného kódu aplikace dynamicky) nebo „virtualizace“ (kdy se do aplikace přidá „virtuální mašinka“ a na té pak běží „image“ s původním kódem).

    Jiné RASP, např. náš App Shielding (který používá technologii Promon), se ale aplikace jako takové dotknou výrazně méně. Odstraní z ní konstanty, URL, klíče a jiné citlivé údaje, případně provedou lepší obfuskaci kódu, a ochranu runtime řeší skrze systémové prostředky bokem (např. chráněným monitoringem připojení debuggeru, detekce emulátoru, pečlivá detekce rootu, UI modifikace v případě detekce neznámé accessibility service). V takovém případě pak nedochází k tomu, že „přicházíte o svůj kód“ – nepřestáváte být pány situace a vše co můžete dělat bez RASPu můžete úplně stejně dělat i s RASPem. Je tedy možné – a prakticky to tak např. my děláme – vedle RASP doplnit jakékoliv ad-hoc security řešení. Zejména kombinace RASP a antivirové komponenty je dobrý krok. Na videu zachycené testy bychom díky tomu po prvním nahlášeném útoku podchytli.

    Z mého pohledu je RASP dnes již mandatorní součást mobilního bankovnictví. Za sebe vůbec nerozumím, proč ho některé banky vůbec nemají. Na druhé straně je pravda, že banka nesmí nikdy uvažovat v intencích „koupili jsme si krabičku, je to kouzelný lék na vše“. To se ale netýká jen RASP technologií. My u nás to samé vidíme na příkladech „anti-fraud řešení“, řešení pro silnou autentizaci (SCA), atd.

    Bankám doporučujeme, aby byly připravěné implementovat komplex opatření. Nasazení RASP je jen jeden krok.


K článku “Android Overlay malware – 2. díl” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: