חוקרים גילו ב-Google Play נוזקה שמסוגלת לשנות תוכן

חוקרים בחברת אבטחת המידע ESET גילו בחנות האפליקציות Google Play את הנוזקה הראשונה למערכת ההפעלה אנדרואיד שמסוגלת להחליף את התוכן שבלוח העריכה (Clipboard) של המכשיר. באמצעות שימוש במטבעות וירטואליים כמו ביטקוין ואית'ריום, הנוזקות מהסוג הזה מנסות להפנות העברות כסף מחשבונו של הקורבן אל חשבונו של התוקף. למזלם של המשתמשים, חוקרי ESET גילו אותה זמן קצר לאחר ששוחררה לחנות האפליקציות, ואחרי דיווח לצוות האבטחה בגוגל היא הוסרה מהחנות.

נוזקת ההעתק-הדבק שהתגלתה מתחזה לשירות לגיטימי שנקרא MetaMask, שזמין כתוסף לדפדפני דסקטופ, כמו כרום ופיירפוקס, ומאפשר שליחה וקבלה של מטבעות אית'ריום. לשירות זה אין גרסה למכשירי מובייל.

הנוזקה שהתגלתה מנצלת את העובדה שמי שמעבירים כספים במטבעות וירטואליים לא מכניסים את הכתובות של הארנקים הווירטואליים שלהם באופן ידני. במקום להקליד אותם, רוב המשתמשים מעתיקים ומדביקים את הכתובת ללוח העריכה, ונוזקה זו יכולה להחליף את הכתובת הזאת בכתובת של התוקף.

"הנוזקות כבר לא מוגבלות לפורומי אנדרואיד מפוקפקים"

"התגלית הזאת מוכיחה שנוזקות מסוג זה, שיכולות להפנות כסף דיגיטלי לגורם זדוני, כבר לא מוגבלות ל-Windows או לפורומי אנדרואיד מפוקפקים. החל מהיום, כל המשתמשים במערכת ההפעלה אנדרואיד צריכים להיזהר מהן", אמר לוקאש סטפנקו, חוקר נוזקות ב-ESET.

סטפנקו הוסיף כי "נראה שיש דרישה לגרסת מובייל של MetaMask. פושעי סייבר מודעים לדרישה הזאת והם מנסים להחדיר נוזקה שמתחזה לשירות הזה לחנות האפליקציות".

חוקרי ESET ממליצים למשתמשים לנקוט צעדים קבועים כדי להגן על עצמם מפני נוזקות מסוג זה ואחרות, באמצעות עדכון מכשירי אנדרואיד בפתרון אבטחה מהימן, הורדת אפליקציות רק מהחנות הרשמית של גוגל, ורצוי, לפי החברה, תמיד לחפש קישור לאפליקציה הרשמית באתר הרשמי של מפתח האפליקציה או ספק השירות. אם אין קישור כזה, המשמעות היא שיש להיזהר במיוחד מכל תוצאה שתמצאו בחנות האפליקציות. בנוסף, מציינים ב-ESET, חשוב לבדוק פעמיים כל שלב בכל העברה של משהו בעל ערך – מידע רגיש או כסף, וכשמשתמשים בפונקציה של העתק-הדבק, חשוב לוודא שהטקסט המודבק הוא אכן הטקסט הנכון.