Aplicativos móveis se tornam ferramenta de ataque dos hackers e deixam os consumidores vulneráveis
O Brasil é, hoje, o quinto país mais suscetível a ataques de hackers, que seguem se apoderando de dados e informações pessoais dos usuários de smartphones. Isso foi demonstrado na mais recente pesquisa da Kaspersky, que demonstrou o quanto nosso país é visado pelos criminosos.
Devido à sua crescente popularidade e à sensibilidade dos dados neles armazenados, os aplicativos móveis estão entre as principais ferramentas usadas pelos hackers. Eles são extremamente vulneráveis porque são executados em ambientes desprotegidos, fora do datacenter e dos firewalls, o que os torna sujeitos a uma variedade de ameaças e ataques.
Armazenados nos equipamentos das pessoas, dados confidenciais podem ser facilmente comprometidos por meio de centenas de ferramentas poderosas, disponíveis gratuitamente e fáceis de usar, que abrem milhares de vetores de ameaças exploráveis.
VULNERABILIDADE
Tom Tovar, CEO e cofundador da Appdome, afirma que os apps móveis são vulneráveis a vários tipos de golpes. Os cibercriminosos podem explorar falhas de segurança até mesmo em aplicativos. “É por isso que a segurança de aplicativos móveis não deve ser negligenciada”, explica Tom.
O phishing é um método de ataque antigo e muito conhecido. Em um ataque de phishing, a vítima recebe um convite para interagir com um conteúdo falso ou malicioso que imita uma entidade confiável, como uma mensagem do seu banco solicitando que você verifique sua conta adicionando seu número de seguro social. A vítima pensa que está enviando informações confidenciais para seu banco, mas na verdade as está enviando para um malware ou invasor.
Historicamente, o e-mail tem sido um canal popular por meio do qual são conduzidas campanhas de phishing, mas não é o único. Na verdade, os ataques de phishing modernos vão muito além do e-mail e muitas vezes envolvem aplicativos móveis armados, usando métodos de ataque sofisticados, como malware de sobreposição, malware de serviço de acessibilidade, aplicativos e clones falsos, cavalos de Tróia com malware ofuscado ou criptografado e muito mais.
SOFTWARES MALICIOSOS
O malware, um tipo de software malicioso projetado para se infiltrar, danificar ou comprometer aplicativos, pode se infiltrar em aplicativos ou sistemas infectados. Eles podem roubar informações e monitorar atividades, sendo devastadores para a segurança do usuário.
Tomemos, como exemplos, os trojans bancários BrasDex e Xenomorph, que abusam dos recursos do Android AccessibilityService para interceptar eventos entre o sistema operacional e o aplicativo. Em seguida, ele aproveita uma carga de malware especializada chamada “ATS” ou Sistema de Transferência Automatizada, permitindo inserir informações em campos dentro do aplicativo móvel.
Desse modo, o trojan se disfarça como usuário de banco móvel, contorna a MFA e conclui transações de ponta a ponta, como transferências de dinheiro, sem o conhecimento do usuário.
ATAQUES DE BOTNETS
Os bots maliciosos, muitas vezes chamados de “bots ruins”, são programas automatizados projetados para realizar ações prejudiciais ou enganosas, como fraude, coleta de dados e roubo financeiro. Esses bots estão crescendo em sofisticação, imitando o comportamento humano e explorando atividades legítimas de aplicativos móveis, tornando-os difíceis de detectar.
As soluções anti-bot tradicionais foram projetadas para aplicações web e não possuem inteligência para detectar explorações direcionadas a aplicações móveis ou ao canal móvel, o que deixa um enorme ponto cego na estratégia de proteção da maioria das organizações.
RESPONSABILIDADE
Tom Tovar lembra que os usuários podem garantir que possuem senhas complexas e baixar aplicativos móveis apenas de lojas de aplicativos oficiais. “Todo mundo já ouviu esse conselho antes, mas a verdade é que a segurança não deve depender apenas do usuário”, acrescenta. “A verdade é que é responsabilidade dos desenvolvedores. Reconhecendo esta realidade, as agências governamentais reconheceram esta mudança crucial de responsabilidade”.
Um exemplo é a estratégia de cibersegurança de Kamala Harris e Joe Biden nos EUA, que sublinha a necessidade dos programadores e proprietários de tecnologia assumirem um papel proativo na segurança das suas aplicações móveis. A indústria deve priorizar as proteções nos aplicativos, já que os usuários móveis dependem cada vez mais dos desenvolvedores para fortalecer seus aplicativos contra ameaças emergentes.
Governos de todo o mundo também estão tomando medidas específicas para responsabilizar os fabricantes de aplicativos móveis pela proteção dos usuários contra fraudes e malwares móveis. E empresas como a Appdome estão inaugurando uma nova maneira de proteger aplicativos móveis, usuários e empresas, aproveitando a automação. Isso permite que as equipes de desenvolvimento e cibernéticas usem inteligência abrangente sobre ameaças e dados de ataque em tempo real em aplicativos móveis de produção para tomar decisões informadas sobre quais proteções construir em aplicativos Android e iOS.
Em seguida, eles utilizam a mesma plataforma de automação de defesa cibernética sem código para fornecer essas proteções diretamente em aplicativos móveis em minutos, diretamente de seu pipeline de CI/CD existente que já usam para criar e fornecer novos aplicativos e recursos.
Essa e outras matérias interessantes estão na edição 213 da Áudio & Vídeo – Design e Tecnologia. Acesse gratuitamente e boa leitura!