סוס טרויאני הופך את הסמארטפון לנקודה חמה
GM BOT הינו סוס טרויאני בעייתי ומסוכן מפני שהוא הופך את המכשיר החכם לנקודה חמה, בה התוקף יכול לגנוב מידע קריטי, שיכול לשמש בהונאות מקוונות
לימור קסם
| 01/05/2016
https://goo.gl/t3rCb4
אין זה סוד כי איומי סייבר ברשת הגיעו מזמן למכשירים הניידים שלנו. מעבר לאפליקציות שדוחפות פרסום אגרסיבי למכשירים הניידים, מייצרים האקרים וכותבי תוכנות זדוניות (זדונות) אפליקציות שביכולתן לגרום לדליפת מידע לגורם שלישי, לחיוג חשאי למספרים בעלות כספית ולשליחה חסויה של מסרונים באופן קצוב לאורך היום. הפעילויות הזדוניות הללו, שמטרתן היא הכנסה כספית לפושע שמעבר לקו, הן חשאיות לחלוטין. בעל המכשיר לא יראה אותן מתרחשות ויגלה על כך רק לכשיגיע החשבון החודשי.
אפליקציות זדוניות לפלטפורמות הסמארטפון עוברות תהליך אבולוציה מסוכן בחודשים האחרונים. מאפליקציות לגניבת מסרונים הגענו למצב של אפליקציות שיכולות לגנוב כל סוג של מידע מהטלפון ואף לשלוט בו מרחוק - כל זאת, עם גישה של משתמש-על, או ROOT, אותה לא ניתן להסיר מהמכשיר.
הקוד הזדוני המהווה בסיס למרבית האפליקציות הללו יצא ב-2014 תחת השם GM BOT, ו-SKUNK, ונמכר בשוק השחור באינטרנט על ידי מי שפיתח אותו – אדם המכנה עצמו GANJAMAN. כבר עם יציאתה של גרסתו הראשונה, עורר GM BOT עניין רב בקרב הפושעים ברשת, שמצדם קנו או שכרו את הזדונה על מנת לגנוב פרטי משתמש של אנשים אותם הדביקו בהצלחה.
GM BOT הינו סוס טרויאני בעייתי ומסוכן מפני שהוא הופך את המכשיר החכם לנקודה חמה, בה התוקף יכול לגנוב מידע קריטי, שיכול לשמש בהונאות מקוונות. לדוגמא, האפליקציה הזדונית מזהה מתי פותח המשתמש אפליקציה בנקאית, או אפליקציית ארנק, ובאופן אוטומטי מעלה חלון מזויף שנראה בדיוק כמו זה האמיתי, עם בקשה להכנסת פרטי משתמש. מכיוון שהדבר קורה באותו רגע שבו המשתמש הפעיל את האפליקציה הלגיטימית, הוא יכול בנקל להאמין לחלון המזויף ולשלוח את פרטי ההתחברות שלו לתוקף, מבלי לדעת על כך לעולם. אותו תהליך מאפשר לתוקף לגנוב פרטי כרטיסי אשראי.
על פניו נראה כי מדובר בפישינג – "דיוג" פרטי משתמש – מה ההבדל?!
ההבדל הוא שכאן גניבת הפרטים לא מסתיימת לאחר הדיוג הראשוני. לטרויאני מסוג זה יש גם יכולות של תוכנת ריגול אשר מאפשרות לפושע לגנוב פרטים נוספים מהמכשיר, כמו מסרונים, מידע על אפליקציות אחרות במכשיר, מידע על המשתמש, רשימת אנשי קשר, וגם פעולות כמו העברת שיחות לתוקף, חסימת תקשורת ממספרים מסוימים ועוד.
בסוף 2015 דלף קוד המקור של GM BOT ברשת על ידי אחד המשתמשים שרצה להעלות את רמת המוניטין שלו בין חבריו לפורום חשאי. תוך פחות מ-3 חודשים הוציא המפתח המקורי גרסה שנייה של הסוס הטרויאני הזה, כאשר הוא מדגיש כי כתב את האפליקציה מחדש ואף הוסיף לה יכולות חדשות לנצל פגיעויות ידועות של גרסאות אנדרואיד שונות על מנת להדביק יותר מכשירים. גרסה זו מאפשרת לתוקף לשלוט במכשיר מרחוק גם כאשר אין חיבור לאינטרנט, ואף לנעול את המסך, או לשנות את קוד הגישה למכשיר בפקודתו.
מעניין לראות כי מחיר האפליקציה בגרסה הראשונה היה כ-5000 דולרים ובגרסה השנייה המחיר כבר קפץ פי 3 ועומד על 15 אלף דולר.
GM BOT התגלתה בווריאציות נוספות. כך קרה שאותה אפליקציה קיבלה שמות שונים כמו SLEMBUNK, ACECARD, BANKOSY, ועוד. בשטח, לכולן אותן יכולות, ונמצא כי מפעיליהן השונים משתמשים בהן לגניבה של פרטי זיהוי של משתמשים מודבקים ואז ממנפים אותן בהונאות פיננסיות מקוונות.
כמשתמשים, מה שעלינו לזכור על מנת להתגונן, הוא שאם כי בימינו אף פלטפורמה אינה חסינה, מכשירים מבוססי אנדרואיד הם אכן פגיעים יותר ממכשירים אחרים. אי לכך, חשוב לנקוט במספר צעדים על מנת לא ליפול בפח:
1. עדכנו את מערכת ההפעלה של מכשירכם ושל כל אפליקציה שימושית בכל פעם שגרסה חדשה מוצעת לכם.
2. מחקו ממכשירכם אפליקציות בהן הפסקתם להשתמש.
3. בהורדה של אפליקציות, השתמשו אך ורק בחנות הרשמית של GOOGLE.
4. השאירו את אופציית ה-SIDE LOADING כבויה כדי שאפליקציות זדוניות לא תוכלנה להגיע למכשירכם ללא רשות או ממקורות מפוקפקים.
5. בכל הורדה חדשה בדקו את ההרשאות המתבקשות מכם בהתקנה. אם נראה לכם כי זו אפליקציה שאינה צריכה לעשות שימוש באפשרות לגבות כסף, או לרוץ כמשתמש-על (ROOT), אל תתנו הרשאה כזו, ואם צריך, בטלו את התקנתה.
לימור קסם היא מומחית לפשעי סייבר, יבמ טראסטיר.
GM BOT הינו סוס טרויאני בעייתי ומסוכן מפני שהוא הופך את המכשיר החכם לנקודה חמה, בה התוקף יכול לגנוב מידע קריטי, שיכול לשמש בהונאות מקוונות
https://goo.gl/t3rCb4
אין זה סוד כי איומי סייבר ברשת הגיעו מזמן למכשירים הניידים שלנו. מעבר לאפליקציות שדוחפות פרסום אגרסיבי למכשירים הניידים, מייצרים האקרים וכותבי תוכנות זדוניות (זדונות) אפליקציות שביכולתן לגרום לדליפת מידע לגורם שלישי, לחיוג חשאי למספרים בעלות כספית ולשליחה חסויה של מסרונים באופן קצוב לאורך היום. הפעילויות הזדוניות הללו, שמטרתן היא הכנסה כספית לפושע שמעבר לקו, הן חשאיות לחלוטין. בעל המכשיר לא יראה אותן מתרחשות ויגלה על כך רק לכשיגיע החשבון החודשי.
אפליקציות זדוניות לפלטפורמות הסמארטפון עוברות תהליך אבולוציה מסוכן בחודשים האחרונים. מאפליקציות לגניבת מסרונים הגענו למצב של אפליקציות שיכולות לגנוב כל סוג של מידע מהטלפון ואף לשלוט בו מרחוק - כל זאת, עם גישה של משתמש-על, או ROOT, אותה לא ניתן להסיר מהמכשיר.
הקוד הזדוני המהווה בסיס למרבית האפליקציות הללו יצא ב-2014 תחת השם GM BOT, ו-SKUNK, ונמכר בשוק השחור באינטרנט על ידי מי שפיתח אותו – אדם המכנה עצמו GANJAMAN. כבר עם יציאתה של גרסתו הראשונה, עורר GM BOT עניין רב בקרב הפושעים ברשת, שמצדם קנו או שכרו את הזדונה על מנת לגנוב פרטי משתמש של אנשים אותם הדביקו בהצלחה.
GM BOT הינו סוס טרויאני בעייתי ומסוכן מפני שהוא הופך את המכשיר החכם לנקודה חמה, בה התוקף יכול לגנוב מידע קריטי, שיכול לשמש בהונאות מקוונות. לדוגמא, האפליקציה הזדונית מזהה מתי פותח המשתמש אפליקציה בנקאית, או אפליקציית ארנק, ובאופן אוטומטי מעלה חלון מזויף שנראה בדיוק כמו זה האמיתי, עם בקשה להכנסת פרטי משתמש. מכיוון שהדבר קורה באותו רגע שבו המשתמש הפעיל את האפליקציה הלגיטימית, הוא יכול בנקל להאמין לחלון המזויף ולשלוח את פרטי ההתחברות שלו לתוקף, מבלי לדעת על כך לעולם. אותו תהליך מאפשר לתוקף לגנוב פרטי כרטיסי אשראי.
על פניו נראה כי מדובר בפישינג – "דיוג" פרטי משתמש – מה ההבדל?!
ההבדל הוא שכאן גניבת הפרטים לא מסתיימת לאחר הדיוג הראשוני. לטרויאני מסוג זה יש גם יכולות של תוכנת ריגול אשר מאפשרות לפושע לגנוב פרטים נוספים מהמכשיר, כמו מסרונים, מידע על אפליקציות אחרות במכשיר, מידע על המשתמש, רשימת אנשי קשר, וגם פעולות כמו העברת שיחות לתוקף, חסימת תקשורת ממספרים מסוימים ועוד.
בסוף 2015 דלף קוד המקור של GM BOT ברשת על ידי אחד המשתמשים שרצה להעלות את רמת המוניטין שלו בין חבריו לפורום חשאי. תוך פחות מ-3 חודשים הוציא המפתח המקורי גרסה שנייה של הסוס הטרויאני הזה, כאשר הוא מדגיש כי כתב את האפליקציה מחדש ואף הוסיף לה יכולות חדשות לנצל פגיעויות ידועות של גרסאות אנדרואיד שונות על מנת להדביק יותר מכשירים. גרסה זו מאפשרת לתוקף לשלוט במכשיר מרחוק גם כאשר אין חיבור לאינטרנט, ואף לנעול את המסך, או לשנות את קוד הגישה למכשיר בפקודתו.
מעניין לראות כי מחיר האפליקציה בגרסה הראשונה היה כ-5000 דולרים ובגרסה השנייה המחיר כבר קפץ פי 3 ועומד על 15 אלף דולר.
GM BOT התגלתה בווריאציות נוספות. כך קרה שאותה אפליקציה קיבלה שמות שונים כמו SLEMBUNK, ACECARD, BANKOSY, ועוד. בשטח, לכולן אותן יכולות, ונמצא כי מפעיליהן השונים משתמשים בהן לגניבה של פרטי זיהוי של משתמשים מודבקים ואז ממנפים אותן בהונאות פיננסיות מקוונות.
כמשתמשים, מה שעלינו לזכור על מנת להתגונן, הוא שאם כי בימינו אף פלטפורמה אינה חסינה, מכשירים מבוססי אנדרואיד הם אכן פגיעים יותר ממכשירים אחרים. אי לכך, חשוב לנקוט במספר צעדים על מנת לא ליפול בפח:
1. עדכנו את מערכת ההפעלה של מכשירכם ושל כל אפליקציה שימושית בכל פעם שגרסה חדשה מוצעת לכם.
2. מחקו ממכשירכם אפליקציות בהן הפסקתם להשתמש.
3. בהורדה של אפליקציות, השתמשו אך ורק בחנות הרשמית של GOOGLE.
4. השאירו את אופציית ה-SIDE LOADING כבויה כדי שאפליקציות זדוניות לא תוכלנה להגיע למכשירכם ללא רשות או ממקורות מפוקפקים.
5. בכל הורדה חדשה בדקו את ההרשאות המתבקשות מכם בהתקנה. אם נראה לכם כי זו אפליקציה שאינה צריכה לעשות שימוש באפשרות לגבות כסף, או לרוץ כמשתמש-על (ROOT), אל תתנו הרשאה כזו, ואם צריך, בטלו את התקנתה.
לימור קסם היא מומחית לפשעי סייבר, יבמ טראסטיר.
