Хакеры атакуют корпоративный сектор через приложения

За полгода число атак на инфраструктуру российских мобильных приложений увеличилось на 200%, подчитали в компаниях по кибербезопасности. Проблема связана с тем, что половина разработок строится на одном интерфейсе с веб-версией, а мобильная версия не проверяется должным образом. По оценке экспертов, в России под угрозой находится до 90% приложений, а ситуацию усугубляет тренд на их скачивание в обход Google Play и App Store: через сжатый файл на сайте компании.

В первом полугодии число атак на API (Application Programming Interface, интерфейс программирования мобильных приложений) в РФ увеличилось на 200% год к году, рассказали “Ъ” в «Информзащите». По оценке «РТК-Солар», количество атак на приложения во втором квартале (то есть после начала военных действий России на Украине) выросло в четыре-пять раз по сравнению с первым. Вредоносные вмешательства включают кражу данных или приостановку обслуживания, создание поддельных учетных записей и мошенничество с кредитными картами в случае, например, с банковскими приложениями. В частности, в 50% случаев взлом приводит к отказу в обслуживании, в 10% происходит кража учетных записей.

Увеличение числа атак в первую очередь связано с удалением из западных маркетплейсов Google Play и App Store ряда приложений российских компаний, попавших под санкции, полагает эксперт центра мониторинга и противодействия компьютерным атакам IZ:SOC «Информзащиты» Шамиль Чич: «Их стало возможно скачать только в виде APK-файла (пакет установки, независимый от Google Play) с сайта компании или банка, но файл, сделанный «на скорую руку», может быть заражен вирусом».

Популярные маркетплейсы начали блокировать российские мобильные приложения еще весной: продукты ВТБ, экосистемы «Сбера» и других, попавших под санкции. Тогда основным риском стали мошеннические копии приложений, замаскированные под официальные (см. “Ъ” от 13 апреля). В ВТБ и «Сбере» не ответили на запросы. В ЦБ “Ъ” заверили, что не отмечают роста числа операций без согласия клиентов из-за атак на API российских приложений. В «Яндексе» сообщили, что не выкладывают приложения в APK-файлы.

Второй проблемой в безопасности API приложений является то, что большинство компаний строят веб-версии и приложения на одном интерфейсе. «Это экономит ресурсы на разработку, тестирование и поддержку, но компании пренебрегают безопасностью»,— подчеркивает Шамиль Чич. Большинство компаний и банков используют схему с одним бэкендом (программно-аппаратная часть сервиса, отвечающая за функционирование его внутренней части), подтверждает директор по кибербезопасности компании-разработчика red_mad_robot Дмитрий Морев. Сейчас, по его словам, такие разработки занимают половину рынка.

Единого реестра всех отечественных мобильных приложений нет, но согласно отчету российского маркетплейса RuStore (разрабатывается VK), сейчас в нем 1 тыс. приложений, включая «Яндекс», «Сбер», «Госуслуги» и т. д. В 2020 году выручка лидеров рынка мобильной разработки в России выросла на 17,6% и превысила 10 млрд руб., оценивали в CNews Analytics. Более свежие данные не публиковались.

Атака на приложение — самый простой для злоумышленника способ проникнуть в периметр организации и получить доступ к инфраструктуре, объясняет директор Центра solar appScreener компании «РТК-Солар» Даниил Чернов: «Это наиболее уязвимое звено в безопасности организаций после человеческого фактора». По его словам, 80–90% программного кода состоит из готовых компонентов, во многих из которых содержатся бэкдоры (дефект, позволяющий получить несанкционированный доступ к данным). По оценке «РТК-Солар», под угрозой 90% российских приложений.

Запросы на анализ мобильных приложений по сравнению с тестированием веб-приложений редки, уточнил руководитель направления Application Security Softline Алексей Чупринин. Кроме того, специализированные средства защиты API — относительно новый класс решений, их используют далеко не все. Поскольку «количество хакеров не падает и их амбиции не уменьшаются», полагает Даниил Чернов, тренд на атаки приложений будет усиливаться.