Dado o extenso número de novas instituições financeiras online, que registou um aumento significativo de 61% nos últimos dois anos, segundo investigação da Akamai, os cibercriminosos reconheceram uma grande variedade de opções disponíveis para cometer crimes neste setor. As fraudes em bancos móveis têm se tornado ainda mais frequentes à medida que mais brasileiros passam a usar este tipo de aplicativos, como mostra uma pesquisa da empresa Hábitos Mobile, que revela que 62% dos brasileiros usam aplicativos de bancos virtuais.
Para o Appdome, o balcão único para defesa de aplicativos móveis, um dos ataques mais comuns ocorre por meio de jailbreak em um dispositivo iOS ou root em um dispositivo Android, métodos que os invasores usam para obter acesso não autorizado ao sistema operacional móvel. O hack consiste essencialmente em conceder a si próprio privilégios de administrador de “superusuário” no dispositivo, contornar as proteções estabelecidas pelos fabricantes, manipular o dispositivo e os aplicativos e até mesmo instalar sistemas operacionais móveis alternativos, projetados para simplificar ataques e explorações de fraude.
“Quando os sistemas operacionais iOS e Android são desbloqueados ou enraizados, a segurança do aplicativo não é mais confiável porque esse ataque modifica o acesso no nível do sistema operacional a serviços que podem comprometer o aplicativo. Para aplicativos bancários, isso pode significar acesso a informações de identificação pessoal (PII), credenciais de usuário e dados, como informações de cartão de crédito e extratos financeiros”, explica Chris Roeckl, diretor de produtos da Appdome.
O jailbreak e o root abrem a porta para malware, spyware e outras formas de roubo de identidade e fraude. Porém, os bancos móveis também devem considerar a experiência do usuário ao aplicar o jailbreak e a detecção de root. “A chave é ter uma estrutura que permita ao aplicativo móvel obter, consumir e usar os metadados de ataque no aplicativo. Com essas informações, os bancos móveis podem oferecer a experiência do usuário que melhor corresponda à ameaça representada”, explica Roeckl.
A Corrida armamentista em jailbreak e rooting
A comunidade hacker está constantemente desenvolvendo diferentes e novas ferramentas de jailbreak e root, aproveitando vulnerabilidades em novos dispositivos e sistemas operacionais. “O crescente cenário de ameaças vai muito além do jailbreak e do root, que representam ameaças graves. Isto exige que as instituições bancárias adotem parceiros que forneçam proteção à prova de futuro, ou seja, para que possam adaptar a sua defesa de segurança em tempo real”, afirma Roeckl. “A ideia é ser capaz de combater quaisquer novos métodos que os hackers possam desenvolver no futuro, onde tentem novas maneiras de contornar a defesa existente do aplicativo móvel.”
Equilibrar a segurança com a experiência do usuário é crucial para aplicativos bancários. De acordo com o relatório Global Consumer Expectations on Mobile App Security da Appdome, 56% dos usuários de aplicativos acreditam que os desenvolvedores de aplicativos são responsáveis pela segurança do consumidor.
Portanto, os bancos móveis devem implementar um conjunto abrangente de proteções em seus aplicativos desde as primeiras fases de desenvolvimento, para proteger proativamente as suas aplicações móveis contra fraudes e outros ataques ao longo do ciclo de vida do desenvolvimento. Isto aumentará a confiança do cliente na segurança que a sua marca de banco virtual garante, ao mesmo tempo que protege o banco contra fraudes, incluindo perdas financeiras, questões legais, falhas de conformidade e danos à marca.
Em vez de se preocupar em controlar, bloquear ou permitir dispositivos móveis específicos, a Appdome propõe uma abordagem mais ampla. A empresa sugere pensar em questões como jailbreak e defesa root como parte de um conjunto de defesas que funcionam juntas dentro do aplicativo móvel, permitindo que bancos móveis construam defesas automatizadas que tenham proteções complementares e que funcionem entre si dentro do aplicativo de uma forma “ consciente da ameaça”.
“É imperativo que as marcas móveis vão além do jailbreak/root básico e incorporem múltiplas defesas, como criptografia de dados, ofuscação de código, anti-adulteração, anti-bot, bem como prevenção de fraude e malware, cada uma das quais bloqueia o invasor a cada etapa, garantindo ao mesmo tempo uma ótima experiência do usuário. Os bancos podem então monitorar o aplicativo móvel em produção para detectar todos os ataques e ameaças que o aplicativo enfrenta em tempo real e ajustar ainda mais o modelo de segurança de acordo com a demanda por proteção máxima contra fraudes”, explica Roeckl.
“As ferramentas DevOps estão disponíveis hoje para resolver todas essas preocupações, permitindo que as marcas móveis adotem, liberem e atualizem facilmente defesas à medida que surgem novos requisitos.”
Sobre a Appdome
Appdome, o one-stop shop para defesa de aplicativos móveis, está em uma missão para proteger todos os aplicativos móveis do mundo e as pessoas que usam aplicativos móveis em suas vidas e no trabalho. A Appdome fornece a única plataforma de automação de defesa cibernética para aplicativos móveis do setor, equipada com mecanismo de codificação baseado em inteligência artificial patenteado, Threat-Events™ Threat-Aware UX/UI Control e ThreatScope™ Mobile XDR. Usando a Appdome, as marcas móveis eliminam a complexidade, economizam dinheiro e oferecem mais de 300 certificados de segurança de aplicativos móveis Secure™, antimalware, antifraude, antibot móvel, antitrapaça, prevenção de ataque MiTM, ofuscação de código e outras proteções no Android e aplicativos iOS com facilidade, dentro do DevOps móvel e do pipeline de CI/CD. As principais marcas financeiras, de saúde, governamentais e de comércio eletrônico usam o Appdome para proteger aplicativos Android e iOS, clientes móveis e negócios móveis em todo o mundo. A Appdome detém várias patentes, incluindo as patentes dos EUA 9.934.017 B2, 10.310.870 B2, 10.606.582 B2, 11.243.748 B2 e 11.294.663 B2. Patentes adicionais pendentes.