LSPosed kihasználás
A CloudSEK elemzése egy veszélyes mobil fenyegetési trendre hívja fel a figyelmet, amely alapjaiban kérdőjelezi meg a modern digitális fizetési rendszerek biztonsági modelljét. A kutatás szerint a támadók már nem a klasszikus, módosított alkalmazásokon keresztül támadnak, hanem az Android futtatókörnyezet manipulálásával, az LSPosed keretrendszer segítségével veszik át az irányítást legitim alkalmazások felett.
A támadók nem módosítják magát a banki vagy fizetési alkalmazást, hanem rendszer szinten hookolják az Android API-kat. Ennek következtében az alkalmazás integritás-ellenőrzései nem észlelik a kompromittálást, mivel a bináris érintetlen marad. Ez a megközelítés jelentős előrelépést jelent a hagyományos malware-ekhez képest, mivel gyakorlatilag láthatatlanná teszi a támadást a klasszikus detekciós mechanizmusok számára.
A támadási lánc központi eleme a mobilfizetési rendszerek egyik kulcsvédelme, az úgynevezett SIM-binding megkerülése. A támadók a TelephonyManager és SmsManager komponensek manipulálásával képesek elfogni a regisztrációs üzeneteket, megszerezni az egyszer használatos jelszavakat, valamint hamisítani a felhasználó telefonszámát és eszközazonosságát. Ezzel gyakorlatilag teljes identitás-átvétel valósítható meg, amely lehetővé teszi a valós idejű számlahozzáférést és tranzakcióindítást.
A jelentés egyik legkritikusabb eleme a távoli SMS-injektálás képessége. A támadók valós időben, C2 infrastruktúrán keresztül képesek hamis SMS-eket generálni és azokat a készülék elküldött üzenetei közé illeszteni. Ez nemcsak a hitelesítési folyamatok manipulálását teszi lehetővé, hanem a forenzikai vizsgálatokat is megnehezíti, mivel a készüléken látszólag legitim kommunikáció jelenik meg.
A támadás ipari méretűvé válását jól mutatja, hogy az ellopott hitelesítési adatokat és OTP-ket a támadók automatizált módon, például Telegram csatornákon keresztül gyűjtik és használják fel. Ez a modell lehetővé teszi a tömeges account takeover műveleteket, minimális technikai belépési küszöb mellett.
A CloudSEK értékelése szerint a kampány a device trust koncepcióját támadja, vagyis azt az alapfeltevést, hogy a mobil eszköz és annak operációs rendszere megbízható végpontként viselkedik. Amennyiben ez sérül, a többfaktoros hitelesítés és az alkalmazásszintű védelem is könnyen megkerülhetővé válik.
