Vulnerabilidade em apps de pagamento pode levar a ataques de phishing

HOMESegurança

A Trend Micro examinou os kits de desenvolvimento de software (SDKs) de formas populares de pagamento por aplicativos – o Google Wallet e a plataforma de pagamento chinês Alipay – e descobriu uma vulnerabilidade que pode ser explorada em ataques de phishing. Os pesquisadores da empresa apontam uma falha na comunicação entre o aplicativo de

A Trend Micro examinou os kits de desenvolvimento de software (SDKs) de formas populares de pagamento por aplicativos – o Google Wallet e a plataforma de pagamento chinês Alipay – e descobriu uma vulnerabilidade que pode ser explorada em ataques de phishing.

Google-Wallet-Payment-Demo

Os pesquisadores da empresa apontam uma falha na comunicação entre o aplicativo de pagamento para dispositivos móveis e os aplicativos de pagamento para clientes. A mensagem de sistema que os aplicativos de pagamento para dispositivos móveis enviam podem ser interceptadas por um aplicativo malicioso, por meio de um filtro de intenção de alta prioridade. Para operações que envolvem o SDK afetado do Google Wallet, o aplicativo deve se comunicar com o aplicativo Google Play no dispositivo para que o Google Play possa notificar o usuário sobre o pagamento e, em seguida, solicitar a confirmação.

No entanto, o SDK do IAP usa uma intenção implícita, que pode ser interceptada. Um aplicativo malicioso pode usar o mesmo filtro de intenção para exibir uma página de phishing.

O Alipay tem o mesmo processo usado pelo Google Wallet. Depois que o usuário clica no botão “pagar”, o aplicativo irá se comunicar com o app cliente do Alipay para que este mostre uma mensagem de confirmação. E, assim como a falha no Google Wallet, a comunicação pode ser interceptada por um aplicativo malicioso usando o mesmo filtro de intenção. O aplicativo malicioso pode então enviar sua própria mensagem em vez da mensagem legítima.

Aplicativos de terceiros empregam o SDK do Google Wallet ou do Alipay para se comunicar com os aplicativos legítimos para processamentos reais de pagamento. O objetivo do referido SDK é enviar a intenção de pagamento para o Google Wallet ou Alipay. Um aplicativo malicioso pode substituir os dois aplicativos reais para receber a intenção de pagamento.

Por exemplo, ao fazer um pagamento por meio de aplicativos de terceiros, os usuários, é claro, esperam ver o Google Wallet ou Alipay legítimos. Neste caso, no entanto, um aplicativo de phishing pode aparecer. Como tal, os usuários podem confiar no aplicativo de phishing e inserir seus reais dados bancários e senhas.

Estas mensagens falsas mostram o potencial dos ataques de phishing. No entanto, estes ataques podem ser apenas o começo. Uma vez que os cibercriminosos têm acesso às contas dos usuários, eles podem então proceder ao roubo de informações armazenadas na conta. Considerando que os aplicativos afetados lidam com os pagamentos, é muito provável que dados de cartão de crédito e outras informações de pagamento sejam roubados. Eles podem então utilizar estas informações ou vendê-las nos submundos cibercriminosos.

Além disso, os usuários podem nem suspeitar dessas mensagens maliciosas. Como os aplicativos lidam com pagamentos, eles podem assumir que as mensagens são apenas relacionadas à intenção de confirmar a conta antes de prosseguir com o pagamento efetivo.

A Trend Micro já informou o Google e o Alipay sobre esta questão. A empresa continua a monitorar ativamente quaisquer ameaças que possam se aproveitar dessa vulnerabilidade. Os usuários devem instalar um software de segurança em seus dispositivos móveis para detectar e bloquear aplicativos maliciosos que podem tirar proveito de vulnerabilidades como esta.


Clique para ler a bio do autor  Clique para fechar a bio do autor