Эксперты «Известий» указывают на отсутствие проверки на получение прав привилегированного пользователя (так называемых root-прав) на самом устройстве. При передаче данных между сервером и устройством имеет место быть слабое шифрование. Поэтому злоумышленники тайно ретранслируют и при необходимости изменяют связь между двумя сторонами, которые уверены, что непосредственно общаются друг с другом. Этот способ мошенничества называется MitM-атакой.
Также хакеры используют такую уязвимость, как хранение в открытом виде в коде приложения аутентификационных данных. Еще мошенники способны установить на устройство клиента фальшивый сертификат и в запросе подделать счет получателя перевода. Слабым местом является отсутствие двухфакторной аутентификации.
Большинство взломов происходит, когда хакеры под видом сотрудников службы безопасности банка связываются с потенциальной жертвой и получают СМС-код, защитный код и номер карты. Эксперты категорически запрещают сообщать личную информацию звонящим из «колл-центров». На мобильном устройстве не надо хранить критичные данные. Не стоит давать root-права для Android.
Solovei.info также рассказал, как обезопасить себя от собирающих данные ботов.