Sophos обнаруживает серию изощренных атак, которые иллюстрируют некоторые из наиболее распространенных способов атаки на iOS.
В исследовании рассматривается 167 поддельных приложений, используемых для обмана пользователей iOS и Android. Особенно выделяются те из них, которые влияют на мобильную ОС Apple, поскольку они демонстрируют растущую изощренность авторов вредоносных программ.
Sophos обнаружил, что эти атаки сочетают в себе целый ряд технологий, от социальной инженерии, поддельных веб-сайтов, поддельных страниц в магазине приложений iOS и даже веб-сайта для тестирования приложений iOS, позволяющего доставить эти поддельные приложения на устройства жертвы.
Sophos предупреждает, что атаками может управлять одна и та же группа, и все идентифицированные приложения якобы являются криптовалютными, фондовыми и банковскими приложениями, которые воруют у тех, кто их использует. Важно отметить, что Sophos поделился подробностями об этих приложениях, и теперь они должны быть обнаружены приложениями для обнаружения вредоносных программ.
Какие векторы атаки использовались?
Для корпоративных пользователей важно определить, какие векторы атак использовались для распространения этих приложений. В первую очередь, это хорошие примеры социальной инженерии в сочетании с изощренными попытками спуфинга.
Например, исследователи выявили случай, когда злоумышленник нашел жертву в приложении для знакомств, которой они в конечном итоге манипулировали, установив поддельное приложение, которое затем попыталось украсть данные о криптовалюте человека.
Атаки также использовали поддельные веб-сайты, которые кажутся законными сайтами известных брендов, и использовали специальное распространение приложений и довольно убедительные страницы загрузки в App Store, дополненные фальшивыми отзывами клиентов.
Человечество уязвимо
Что делает эти убедительные атаки опасными, так это сконструированная аутентичность. Это означает, что люди, в том числе ваши сотрудники, могут легко стать их жертвой. И снова эти попытки сосредоточены на самом слабом звене в любой цепочке безопасности — людях, использующих оборудование.
Что предприятия могут сделать, чтобы защитить себя? Думаю, это аргумент в пользу нулевого доверия.
Пароли недостаточно защищают не только личные данные, но и корпоративные услуги и информацию. Так же, как я бы посоветовал любому пользователю iOS, предприятиям следует по крайней мере развернуть многофакторную аутентификацию для усиления существующих протоколов безопасности, хотя даже этого недостаточно. Сетевые модели безопасности Zero Trust образуют еще один барьер, снижающий воздействие атак такого рода.
Учитывая, что безопасность сегодня — это когда , а не если , переход к комбинированным средствам защиты повышает вероятность того, что данные останутся в безопасности даже в случае проникновения в один из компонентов этой защиты.
Использование специального распространения
Также стоит отметить, что по крайней мере в некоторых из этих случаев преступники использовали специальное распространение (Sophos относится к услугам разработчиков Super Signature), чтобы уклониться от процесса Apple App Store. Это позволяло им создавать то, что казалось реальными приложениями, распространяемыми фальшивыми страницами App Store, но создаваемыми и управляемыми полностью вне процесса App Store.
Приложения являются вредоносными и действуют как настоящие приложения, но распространяются через поддельную страницу App Store. Они никогда не взаимодействуют с Apple в каком-либо подлинном смысле, и вполне вероятно, что используемые сервисы для разработчиков нарушают лицензионные соглашения Apple с разработчиками.
Существуют шаги, которые могут предпринять поставщики магазинов приложений для предотвращения таких атак. Sophos предлагает магазинам, например, добавлять показатели репутации и надежности в рейтинг приложений.
Apple должна…
Apple следит за такими попытками, предпринимаемыми через App Store. В прошлом году он закрыл 470 000 учетных записей разработчиков и отклонил более 200 000 заявок на участие в программе из-за подозрений в мошенничестве. Он также удалил 95 000 приложений из App Store за мошеннические нарушения, такие как манипулирование пользователями с целью совершения покупок.
Но использование специального распространения приложений в этих нарушениях побудило Sophos порекомендовать Apple создать новое предупреждающее сообщение iOS, которое позволяет пользователям узнать, устанавливают ли они специальные приложения вне магазина приложений Apple .
Я полностью согласен с таким подходом. Я не думаю, что бета-тестеры будут отключены такими предупреждениями при установке пробных приложений. Я также не думаю, что предприятия, использующие небольшие дистрибутивы приложений собственной разработки, будут иметь проблемы с объяснением такого предупреждения сотрудникам.
Более широкие преимущества с точки зрения добавления барьера для установки криминальных приложений, распространяемых с помощью умной социальной инженерии и убедительной подделки, намного перевешивают трение, связанное с получением такого предупреждения в первую очередь.
Тем не менее, игра в кошки-мышки между онлайн-сервисами, организациями, пользователями и предприятиями против киберпреступников продолжает усложняться, а люди остаются самым слабым звеном в цепи безопасности. На любой платформе.
