Blog OneSpan

Protéger les applications bancaires mobiles contre le récent cheval de Troie D'Android PayPal et l'abus d'accessibilité Android

Sécurité des applications mobiles
OneSpan Team,
Locked iPad

Les services d'accessibilité d'Android facilitent l'interaction avec les applications ou les appareils Android sans l'interface utilisateur traditionnelle. Malheureusement, les attaquants peuvent abuser de ces mêmes fonctionnalités utiles pour frauder les utilisateurs et les institutions financières (IS), comme dans le cas d'un cheval de Troie Android PayPal capable de voler 1000 $ des utilisateurs en quelques secondes malgré l'utilisation de l'application de deux facteurs authentification (2FA). Heureusement, une approche en couches de l'authentification et de la sécurité des applications mobiles peut protéger votre application contre ces types d'attaques.

Parmi les avantages offerts par les services d'accessibilité Android, mentionnons le fait de permettre à une personne malvoyante de contrôler une application ou un appareil avec sa voix ou quelqu'un avec une dextérité limitée d'utiliser un périphérique matériel externe « commutateur » pour naviguer à travers une application. sans avoir à glisser et appuyer sur de petits boutons avec leur doigt. L'activation des fonctionnalités d'accessibilité Android, cependant, permet à une application d'interagir avec d'autres applications sur l'appareil sans intervention traditionnelle de l'utilisateur - et peut avoir des ramifications que l'utilisateur typique n'est pas au courant.

À la fin de l'année dernière, les chercheurs ont découvert des logiciels malveillants mobiles de pointe capables de saigner les comptes PayPal des utilisateurs d'Android en un clin d'œil. C'est l'un des exemples les plus sophistiqués de logiciels malveillants mobiles que le monde ait jamais vu. La sécurité de l'application run-of-the-mill seule ne peut pas rivaliser avec ces attaques plus avancées, et dans ce cas, même l'authentification à deux facteurs ne pourrait pas l'arrêter.

Paypal Android Trojan: Que s'est-il passé?

Le malware, publié sur un magasin d'applications tiers, se présentait comme une application d'optimisation de la batterie, appelée Optimization Android, mais n'offrait aucune fonctionnalité de ce genre. Après qu'un utilisateur a téléchargé l'application à partir d'un magasin d'applications tiers et l'a lancée, le malware s'est immédiatement arrêté et a caché son icône de la vue. Ensuite, le malware a demandé à l'utilisateur d'activer un service d'accessibilité sur l'appareil appelé "Enable statistics."

De là, le malware identifié si PayPal a été installé sur l'appareil, et si oui, il a incité de toute urgence l'utilisateur avec une notification à "Confirmer votre compte immédiatement." Une fois que l'utilisateur a cliqué sur la notification, l'application officielle PayPal a été lancée. Le malware a contourné 2FA de l'application en se trouvant dans l'attente que l'utilisateur connecté. Une fois que l'utilisateur avait entré le code de sécurité reçu par SMS, le malware bondit.

Abusant du service d'accessibilité, l'application imite l'utilisateur en cliquant automatiquement sur les boutons et en entrant du texte dans l'interface PayPal pour envoyer 1 000 € ou 1 000 € au compte de l'attaquant en moins de quatre secondes. Parce que le malware agit si rapidement dans la soumission de la transaction, il n'y a vraiment pas de temps pour l'utilisateur d'intervenir.

Le malware comprenait également des capacités bancaires mobiles plus familières de Troie, telles que la présentation des utilisateurs avec des écrans de couverture qui hish pour les informations d'identification ou les détails de carte de paiement. Mais, les logiciels malveillants qui automatise les actions des utilisateurs, cible une application de paiement en temps réel, et est capable de frauder les utilisateurs en quelques secondes n'a pas vraiment été vu avant. Pire encore, il pourrait être un signal de ce qui est à venir.

Mobile App Shielding
LIVRE BLANC

Protection des applications mobiles : comment réduire la fraude, faire des économies et protéger les revenus

Découvrez comment le blindage des applications avec la protection des temps d'exécution est essentiel au développement d'une application bancaire mobile sécurisée et résiliente.

Télécharger

Évolution des menaces mobiles et des paiements en temps réel

Un article du New York Times publié plus tôt cette année racontait de multiples histoires de consommateurs victimes de stratagèmes frauduleux qui ont fait appel à Zelle comme moyen de paiement. Les fraudeurs ont surtout réussi dans ces cas en raison de techniques d'ingénierie sociale plutôt que par des faiblesses de sécurité inhérentes à la plate-forme Zelle.

Une associée de PwC citée dans l'article a dit qu'elle connaissait une banque qui a connu un taux de fraude de 90% sur les transactions Zelle. Elle a ajouté que de nombreuses banques mettent en œuvre Zelle sans protections adéquates, telles que la surveillance 2FA ou le comportement des utilisateurs. PwC a par la suite publié une correction indiquant que la statistique de 90 % n'était pas corroborée et que la plupart des banques avaient de solides contrôles d'authentification en place.

Dans l'attaque récente ciblant PayPal pour Android, l'authentification à deux facteurs n'a rien fait pour atténuer la fraude. Le malware l'a contourné simplement en l'attendant. Tous les utilisateurs ne seront pas avertis en matière de sécurité, comme l'illustre l'affaire de fraude Zelle. Les IS doivent fournir plus d'aide et de protection dans cette bataille contre les cybercriminels, parce que leurs utilisateurs sont confrontés à un adversaire redoutable.

Les utilisateurs méritent plus de soutien en matière de sécurité dans un paysage de menace de plus en plus hostile

Les utilisateurs l'ont déjà assez dur. L'écosystème mobile est un farnaud avec de nombreux problèmes, y compris les appareils vulnérables que les utilisateurs sont incapables de mettre à jour et les applications malveillantes distribuées sur et hors des magasins d'applications officiels. Les développeurs peuvent ou non avoir le temps de s'assurer que leurs applications traitent les données des utilisateurs de manière sécurisée. Il est indisjon ci-contre l'état de sécurité de l'appareil d'un utilisateur mobile, en particulier avec les logiciels malveillants qui continuent de mûrir et deviennent de plus en plus clandestins.

Cependant, il y a de l'espoir. Les institutions financières doivent contrer ces méthodes avec la même innovation. Le moment est venu pour les institutions financières d'adopter des technologies de sécurité avancées, telles que le blindage d'applications mobiles,l'authentification adaptative intelligente et la biométrie comportementale,afin de réduire la fraude dans le canal mobile et de protéger les utilisateurs d'eux-mêmes. Mieux encore, ces technologies protègent les clients et les IMF contre la fraude sans encombrer inutilement l'expérience utilisateur.

Comment se protéger contre les chevaux de Troie bancaires mobiles qui abusent des services d'accessibilité Android

Le cheval de Troie Android Paypal a été en mesure d'exploiter l'application PayPal en raison d'une simple hypothèse. Une fois que l'utilisateur est authentifié, l'application suppose qu'elle s'exécute dans un environnement sûr. C'est évidemment incorrect. Une surveillance continue de la session utilisateur est nécessaire pour protéger en permanence le temps d'exécution de l'application mobile.

Le cheval de Troie Android PayPal a surveillé les processus en cours d'exécution sur l'application. S'il a reconnu le processus PayPal, il est allé au travail. Le blindage d'applications aurait intelligemment rendu le nom du processus PayPal méconnaissable, de sorte que l'application PayPal était essentiellement cachée du malware. Cela aurait protégé proactivement contre l'attaque, même sur un dispositif compromis.

Une fois le transfert d'argent lancé, le fait qu'il s'agissait d'un paiement à un bénéficiaire nouvellement ajouté et à une valeur relativement élevée aurait été reconnu par intelligent Adaptive Authentication (IAA). IAA aurait incité l'utilisateur à obtenir une authentification supplémentaire pour confirmer et/ou signer la transaction. Avec ce contrôle en place, l'utilisateur aurait eu la possibilité d'arrêter la transaction.

Enfin, si la biométrie comportementale avait été intégrée dans l'application, la technologie aurait signalé les interactions automatisées comme non humaines, peu importe la vitesse, et arrêté la transaction frauduleuse de l'exécution. La biométrie comportementale capture la façon dont un utilisateur utilise généralement son appareil sur une période de temps (par exemple, comment il tape, l'angle auquel il tient habituellement son appareil) et définit un profil d'utilisateur basé sur un algorithme. Si les interactions qui ont lieu sur le téléphone ne correspondent pas au profil, l'application arrêtera l'opération ou demandera des mesures d'authentification supplémentaires.

Le meilleur de tous, à la fois le blindage des applications et la biométrie comportementale sont des garanties de sécurité discrètes qui n'interrompent pas l'expérience client à moins que quelque chose a mal tourné. Essentiellement, il s'agit de mesures de sécurité invisibles, qui sont disponibles et utilisées par certains F avant-gardistes aujourd'hui.

Il est grand temps que les institutions financières associent les menaces mobiles de plus en plus sophistiquées à la sécurité sophistiquée des applications mobiles. Les FI ont besoin d'une sécurité capable de protéger les utilisateurs et de défendre les applications dans des environnements non fiables et potentiellement hostiles.

OneSpan Team
OneSpan Team

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.

Haut de page
Partager