Пентест мобільних додатків: захист від шкідливих застосунків

Уявімо типову ситуацію: користувач відкриває банківський застосунок, вводить логін і пароль — і бачить звичайний екран підтвердження. Але за кілька секунд до цього шкідливий додаток, встановлений раніше з неофіційного джерела, наклав фальшиве вікно поверх реального інтерфейсу. Усі введені дані отримав зловмисник. Ані користувач, ані власник застосунку нічого не помітили.

Саме так зазвичай працюють сучасні шкідливі мобільні додатки (malicious mobile apps). Вони рідко атакують напряму. Набагато частіше шукають вразливості у легітимних застосунках, наприклад, незахищену передачу даних, слабку автентифікацію, відсутність захисту від зворотної розробки або надмірні дозволи.

Пентест мобільних додатків — це можливість виявити ці слабкі місця першими, раніше за зловмисника. У цій статті розбираємо, як небезпечні мобільні застосунки компрометують легітимні додатки, які вразливості вони використовують і чому регулярне тестування на проникнення у мобільні додатки — не витрата, а необхідність.

Шкідливі мобільні додатки та принципи їх роботи

Шкідливі мобільні застосунки (Malicious mobile apps) — це програми для мобільних пристроїв, які виконують приховані або шкідливі дії без відома користувача. Найчастіше їхні деструктивні дії пов’язані з крадіжкою даних, відстеженням активності та порушенням роботи інших застосунків. Головна риса полягає у маскуванні під корисний інструмент.

Основні типи шкідливих мобільних додатків

Способи поширення шкідливих мобільних додатків

• APK-файли з третьосторонніх джерел. Вони обходять перевірки офіційних магазинів додатків.
• Фішингові посилання. Спонукають завантажити підроблений застосунок, який імітує відомий бренд.
• Підроблені застосунки в офіційних магазинах. Маскуються під корисні сервіси та проходять базову модерацію.
• Соціальна інженерія. Змушують надати надлишкові дозволи або встановити шкідливу програму.
• Malvertising. Шкідливе ПЗ поширюється через рекламні мережі після кліку на оголошення.
• Компрометація офіційних магазинів. Шкідливий код вбудовується в застосунки, що пройшли модерацію.
• Вбудований шкідливий код у сторонніх SDK. Інтегрується у бібліотеки, які підключають легітимні застосунки.

Наслідки дії шкідливих мобільних додатків для власників застосунків

Власники мобільних додатків часто недооцінюють ризик, хоча дарма. Їхній продукт може стати не просто жертвою, а інструментом кібератаки на власних користувачів. Ми спостерігаємо цю закономірність у проєктах із різних галузей — від фінтеху до ритейлу. 

Ось до чого це зазвичай призводить:

• Викрадення даних користувачів. За це може настати серйозна юридична відповідальність власника застосунку, у якому виявилася вразливість.
• Репутаційні ризики. Навіть один публічний випадок зламу — і рейтинг застосунку падає, негативні відгуки накопичуються, а відновлення довіри потребує місяців роботи.
• Фінансові збитки. Компенсації постраждалим користувачам, витрати на усунення наслідків, втрата прибутку в період простою — разом це значно більше, ніж вартість превентивного пентесту мобільних додатків.
• Юридичні та регуляторні наслідки. Порушення вимог GDPR або законодавства про захист персональних даних тягне за собою штрафи та перевірки регуляторів. Наслідки можуть відчуватися роками.

Як шкідливі мобільні додатки експлуатують легітимні застосунки

Розглянемо найпоширеніші способи компрометації, які використовують шкідливі мобільні застосунки

1. Викрадення облікових даних

Що відбувається: шкідливий додаток перехоплює автентифікаційні дані під час введення — логіни, паролі, банківські дані.

Як виглядає для користувача: застосунок «не відповідає» або несподівано пропонує повторно ввести дані.

Наслідки для бізнесу: масова компрометація акаунтів клієнтів, фінансові втрати, порушення законодавства про захист даних.

2. Overlay-атаки

Що відбувається: поверх реального екрана застосунку відображається фальшивий інтерфейс.

Як виглядає для користувача: звичний інтерфейс — жодних підозрілих ознак.

Наслідки для бізнесу: масова компрометація облікових записів, репутаційний удар по бренду застосунку.

3. Перехоплення мережевого трафіку (MitM)

Що відбувається: зловмисник перехоплює трафік між застосунком і сервером через відсутність належної перевірки сертифіката або SSL Pinning.

Як виглядає для користувача: застосунок функціонує в штатному режимі — жодних тривожних сигналів.

Наслідки для бізнесу: витік токенів авторизації, персональних та фінансових даних у реальному часі.

4. Reverse engineering мобільних застосунків

Що відбувається: зловмисник декомпілює APK-файл застосунку, аналізує програмний код, знаходить ключі шифрування, API-токени та бізнес-логіку.

Як виглядає для користувача: атака відбувається поза пристроєм — користувач нічого не помічає.

Наслідки для бізнесу: компрометація серверної частини, витік комерційної таємниці, можливість створення підробленої версії застосунку.

5. Зловживання дозволами та Accessibility Service

Що відбувається: шкідливий додаток запитує надлишкові дозволи або зловживає Accessibility Service на Android для контролю над іншими застосунками.

Як виглядає для користувача: стандартний запит дозволів під час встановлення, без жодних підозрілих сигналів.

Наслідки для бізнесу: несанкціонований збір даних, порушення приватності користувачів, юридична відповідальність.

Як захистити легітимний мобільний застосунок від шкідливих мобільних додатків

Нижче наведемо основні методи захисту, які ми рекомендуємо реалізовувати у мобільних застосунках. Кожен прив'язаний до конкретного типу атак, описаних вище.

Пентест мобільних додатків як метод перевірки кібербезпеки

Для початку пояснимо, що таке пентест. Це контрольоване тестування безпеки методами реальних атак. Спеціалісти з кібербезпеки відтворюють дії зловмисника: намагаються викрасти дані, обійти авторизацію, декомпілювати код, провести overlay-атаку — і фіксують усе, що вдається зробити. Мета — знайти вразливості до того, як їх знайде хтось із реальними злочинними намірами.

Як показує багаторічний досвід наших спеціалістів, більшість вразливостей, що виявляються під час пентесту, — це не результат складних атак, а типові технічні недоліки: незахищена передача даних, відсутність SSL Pinning, чутливі дані у відкритому вигляді в локальному сховищі. Знайти їх можна лише при цілеспрямованій перевірці.

Наприклад, під час пентесту iOS-застосунку для страхової компанії команда Datami виявила критичні вразливості, які потенційно дозволяли перехопити дані авторизації — проблеми, що залишилися б непоміченими при стандартному функціональному тестуванні. В іншому кейсі з пентестом мобільного застосунку із застосуванням reverse engineering нам вдалося отримати доступ до критичних компонентів серверної архітектури через недостатньо захищений скомпільований код.

Основні етапи пентесту мобільних застосунків

Зазвичай процес тестування на проникнення включає 7 кроків:

1. Збір інформації. На цьому етапі визначають обсяг тестування, збирають відкриті й технічні дані про цільову систему та документують знайдену інформацію.
2. Розвідка. Фахівці формують детальний профіль цільового середовища за допомогою пасивних і активних методів збору даних.
3. Виявлення та сканування. Пентестери шукають активні хости, відкриті порти, сервіси та потенційні вразливості.
4. Оцінка вразливостей. Зібрані дані аналізують, визначають рівень ризику кожної вразливості та встановлюють пріоритети для їх усунення.
5. Експлуатація. Виявлені знахідки контрольовано використовують, щоб перевірити можливість атаки та оцінити її реальний вплив.
6. Фінальний аналіз і звіт. Результати пентесту узагальнюють у звіті з описом проблем, їхніх наслідків і рекомендаціями щодо виправлення.
7. Використання результатів. Організація впроваджує рекомендації, оновлює політики безпеки, навчає персонал і налагоджує подальший моніторинг.

Коли потрібно проводити пентест мобільного застосунку

Ми рекомендуємо проводити тестування на проникнення у таких ситуаціях:

• Під час розробки. Щоб архітектурні рішення з самого початку відповідали вимогам безпеки.
• Перед публікацією. Щоб не випустити застосунок із відомими вразливостями.
• Після оновлень. Новий функціонал може принести нові ризики.
• Після інтеграції сторонніх SDK або бібліотек. Вони можуть містити власні вразливості.
• Після виявлення підозрілої активності. Для оцінки масштабу та характеру компромісу.
• Регулярно в процесі підтримки. Безпека потребує системного підходу, а не перевірки «один раз».

Вразливості, які виявляє тестування на проникнення у мобільні додатки

Існують різні типи вразливостей у кібербезпеці. Нижче — ті, що найчастіше виявляються під час пентесту та активно використовуються шкідливими мобільними додатками.

Висновки

Шкідливі мобільні додатки — це реальна та зростаюча загроза не лише для кінцевих користувачів, а й для власників мобільних застосунків. Вони атакують через вразливості у коді, незахищені з'єднання, надмірні дозволи та відсутність захисту від зворотної розробки.

Пентест мобільного застосунку дозволяє поглянути на свій продукт очима зловмисника: знайти слабкі місця, оцінити реальний рівень захисту та отримати конкретні рекомендації щодо усунення проблем. З власного досвіду можемо стверджувати: регулярне тестування на проникнення в мобільний додаток — це інвестиція у стійкість продукту та довіру користувачів.

Якщо ваш мобільний застосунок ще не проходив пентест або ви хочете перевірити його поточний рівень захисту — замовте консультацію спеціалістів Datami. Ми проводимо пентест мобільних застосунків на iOS та Android, надаємо детальний звіт з описом вразливостей і рекомендаціями щодо їх усунення.

Глосарій термінів

Словник ключових термінів, використаних у цій статті: