O surgimento de aplicativos de carteira digital para dispositivos móveis tornou o mundo dos investimentos mais acessível. Eles eliminaram barreiras como altas taxas de corretagem e requisitos mínimos de investimento, permitindo que até mesmo investidores com orçamentos limitados participem do mercado financeiro, resultando em um aumento significativo no número de pessoas usando aplicativos financeiros para gerenciar suas ações, fundos mútuos e ativos digitais.
Por outro lado, as empresas de serviços financeiros já são o segundo maior alvo de ataques cibernéticos no mundo, segundo uma pesquisa realizada pelo laboratório Netskope. Estudos da Intertrust mostraram que 77% dos aplicativos financeiros têm pelo menos uma grande vulnerabilidade que poderia levar a uma violação de dados e 88% falham nos testes criptográficos. Isso significa que hackers podem quebrar a criptografia usada como defesa para obter dados sensíveis de clientes e pagamentos ou adulterar o aplicativo.
Cada violação de dados, incluindo violações de dados de clientes e pagamentos, custa às empresas, em média, mais de US$ 4 milhões em negócios perdidos e registros internos. "À medida que novos aplicativos de investimento são lançados e novos recursos são adicionados diariamente, as empresas financeiras competem pelo mesmo investimento e atenção. Os desenvolvedores de aplicativos móveis devem encontrar maneiras de acompanhar essa evolução, protegendo seus aplicativos e garantindo a segurança do usuário", enfatiza Chris Roeckl, diretor de produto da Appdome.
Com isso em mente, a Appdome lista três dos ataques mais comuns em aplicativos de investimento.
1. Manipulação e aplicativos falsos
A disseminação de aplicativos de investimento falsos, muitas vezes se passando por marcas legítimas e confiáveis como Barclays, Gemini, Kraken, TDBank e Binance, tem sido uma tática nefasta de cibercriminosos para atrair indivíduos desprevenidos a enviar fundos diretamente para suas mãos.
"Um caso ilustrativo envolveu um aplicativo malicioso se passando por uma empresa comercial sediada na Ásia. As vítimas foram seduzidas por meio das redes sociais e sites de relacionamento para baixar o aplicativo fraudulento. Assim que as contas foram abertas por meio deste aplicativo falso, os fundos das vítimas foram imediatamente desviados para cibercriminosos", relata Roeckl.
2. Ataques de sobreposição
Os aplicativos de investimento enfrentam ameaças crescentes de malware como Xenomorph, que utiliza táticas avançadas de sobreposição. Nesse tipo de ataque, uma tela ou janela falsa, controlada pelo atacante, é sobreposta a um aplicativo legítimo, enganando o usuário para revelar informações sensíveis.
Essas sobreposições maliciosas podem solicitar credenciais do usuário, permitindo que dados sejam capturados e usados para transferências de fundos ilegais ou outros fins maliciosos.
No início de 2022, o Xenomorph, por exemplo, apareceu pela primeira vez, na forma de um trojan bancário que mirava 56 bancos europeus, por meio de phishing com sobreposição de tela. Ele foi compartilhado através do Google Play e teve mais de 50 mil instalações, causando enormes perdas.
3. Ataques de tempo de execução dinâmico
Os atacantes usam técnicas dinâmicas para analisar ou modificar aplicativos móveis enquanto estão em execução. Eles fazem isso para entender como o aplicativo móvel se comporta e interage com outros componentes. Dessa forma, os atacantes podem comprometer aplicativos bancários para roubar ou coletar dados de transações ou até mesmo modificar os fluxos de trabalho de um aplicativo móvel em tempo real.
Outra preocupação com os ataques dinâmicos é a possibilidade de criar contas fraudulentas. "Os hackers podem usar essas versões adulteradas dos aplicativos para registrar contas falsas em nome de usuários legítimos ou até mesmo criar identidades fictícias. Essas contas fraudulentas podem ser usadas para realizar transações ilícitas, transferências de fundos e compras de ativos financeiros sem a autorização do usuário legítimo. Isso poderia resultar em perdas financeiras significativas para investidores afetados, bem como danos à reputação de plataformas de investimento comprometidas", explica Roeckl.
Pentesters podem ser uma luz para proporcionar mais segurança em aplicativos financeiros
Para identificar falhas e prevenir ataques antes que ocorram, a Appdome sugere que os desenvolvedores usem ferramentas de segurança automatizadas para incorporar proteções de aplicativos móveis e depois usem testes de penetração para validar a segurança adequada. Em um teste de penetração, profissionais especializados chamados hackers éticos realizam uma série de investigações para identificar vulnerabilidades ou falhas de segurança relacionadas às informações sensíveis dos usuários e dados pessoais. Eles avaliam a capacidade de segurança da estrutura da empresa, rede e aplicativos móveis, com o objetivo de encontrar vulnerabilidades nos programas e dados existentes. Uma vez concluída a avaliação, os hackers éticos podem se associar aos desenvolvedores para explorar maneiras de corrigir ou pelo menos minimizar as vulnerabilidades de segurança do sistema.
"As instituições financeiras devem priorizar a segurança do cliente adotando medidas como criptografia forte, autenticação multifatorial e monitoramento proativo de transações. Investir em atualizações regulares, treinamento de funcionários e parcerias com especialistas em segurança cibernética, como testadores de penetração, é essencial para proteger tanto os portfólios de investimento quanto os aplicativos bancários móveis, garantindo a confiança do cliente e a integridade das operações", conclui Chris.
