根据7月18日网络安全公司Verimatrix首席执行官阿萨夫·阿什肯纳兹的声明，一种新型的针对移动应用的新型攻击正在对密码用户构成日益增长的威胁。

这种新型威胁被称为“叠加攻击”。它通过在用户的设备上创建一个虚假界面来实现。然后，这个界面被用来从用户那里钓鱼信息，包括用户名、密码甚至2FA代码，阿什肯纳兹表示。一旦获取到这些信息，攻击者就会用它来在目标应用的真正界面上提交信息。

要执行叠加攻击，攻击者首先需要说服用户在其移动设备上下载一个应用程序。屏幕叠加利用者通常伪装成游戏或其他有趣的应用。当用户打开应用程序时，它似乎按预期工作。

“不管是什么游戏，[它]甚至可以是一个流行游戏的复制品，并且它会执行这种功能，”阿什肯纳兹表示。因为应用程序按预期工作，用户通常不会怀疑它是恶意的。

事实上，这个应用程序“除了一个特性之外，没有任何恶意活动，它监测当 [...] 目标应用程序启动的时刻。”目标应用程序可以是银行、加密交易所、加密钱包或其他敏感应用程序。一旦用户启动了目标应用程序，恶意应用程序就会创建一个与目标应用程序中使用的界面“完全相同”的界面。

例如，如果用户启动他们的交易所应用程序，恶意应用程序就会创建一个看似与交易所界面一模一样的虚假用户界面，但实际上是由攻击者控制的。用户在虚假界面上输入的任何信息都会被攻击者捕获，然后这些信息就会被传递到真实应用程序中，从而让攻击者能够访问账户。

阿什肯纳兹警告说，双重身份验证（2FA）通常无法保护用户免受此类攻击。如果启用了2FA，攻击者将简单地等待用户输入他们的短信或身份验证应用程序代码，这些代码随后就像其他凭据一样被捕获。

关联： Authy 2FA应用程序泄露可能用于短信钓鱼的电话号码

在许多情况下，恶意应用程序会导致用户的屏幕变暗，让他们相信手机没电了或崩溃了。“一旦他们 [进入] 你的账户，他们就会在手机上显示一个黑屏，”Verimatrix首席执行官表示。

"所以你的手机还在运行，但你什么也看不见，所以你会认为你的手机坏了。”这给了攻击者机会窃取受害者的账户，因为他们不太可能意识到他们在被攻击，直到事态恶化。

阿什肯纳兹表示，银行应用程序是叠加攻击最大的目标之一。然而，加密交易所也面临风险，因为它们依赖于与银行应用程序相同的用户名/密码/2FA范式。他声称他还没有看到任何非托管加密钱包应用程序成为攻击目标，但这种情况可能会在未来改变。

阿什肯纳兹强调，叠加攻击是在用户自己的设备上进行的，该设备包含钱包的私钥，因此要求对每个交易进行加密签名不一定能够保护用户。

Verimatrix试图与谷歌合作，从Google Play商店中删除叠加攻击应用程序。但捕捉所有这些应用程序都是一项困难的任务。与大多数恶意应用程序不同，叠加攻击应用程序在用户加载目标应用程序之前不会执行任何恶意操作。

因此，在流氓软件检测程序的筛选下，这些应用程序通常看起来是无辜的。阿什肯纳兹表示：“他们看到一个游戏，他们看不到恶意行为，因为它实际上没有做什么。”

他建议，集中式服务应使用监控系统来检测叠加攻击并阻止它们在应用程序的数据库内进行。这是Verimatrix为客户提供的一项服务。

然而，他建议，即使用户最喜爱的应用程序没有使用此类监控服务，消费者也可以采取行动来保护自己。

首先，用户应该对那些看起来好得令人难以置信的应用程序持怀疑态度。“如果你看到一些免费提供的游戏，或是真的免费而非常好玩的东西，[你]需要怀疑，”他表示。

其次，用户不应该授予他们不需要的应用程序权限，因为叠加攻击不能在没有用户授予应用程序创建叠加的权限的情况下进行。

最后，父母应该考虑为他们的孩子配备一个单独的移动设备，因为Verimatrix在其研究中发现，许多叠加攻击应用程序是在没有父母知情的情况下被孩子们下载的。这是因为攻击者通常将他们的应用程序伪装成对儿童有吸引力的游戏。

“如果你负担得起，而且你有对孩子们来说有趣的东西，不要混合。让他们玩得开心。但不要让他们从这个设备访问任何重要的东西，”首席执行官表示。

杂志： Crypto-Sec：Evolve银行遭受数据泄露，Turbo Toad粉丝损失3.6K美元