Cybercriminals are increasingly turning their sights from desktop to mobile, exploiting Meta’s advertising platform to distribute a sophisticated Android banking trojan disguised as a free TradingView Premium app. Bitdefender Labs warns that these threat actors have shifted tactics after months of targeting Windows users with fake trading and cryptocurrency ads, now focusing worldwide on smartphone […]
The post Threat Actors Use Facebook Ads to Deliver Android Malware appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.
《T/TAF 285—2025 金融类APP分发管理要求》和《T/TAF 286—2025 金融类APP用户权益保护技术要求》两项标准于2025年7月7日由电信终端产业协会(TAF)正式发布并实施。梆梆安全作为参编单位,深度参与标准编制并提供技术支撑。
随着移动互联网快速发展,金融类APP已成为广大用户获取金融服务的主要渠道。其具备复杂的金融交易功能,风险隐患更为突出,除违规处理个人信息外,还可能被用于非法放贷、诈骗等犯罪活动,严重威胁用户财产安全。在此背景下,两项标准应运而生。
《T/TAF 285—2025 金融类APP分发管理要求》
旨在保护用户个人信息和财产安全,指导应用分发平台针对金融类APP建立更为严格有效的主体认证、上架审核、在架巡查、申诉投诉等管理措施,提升应用分发平台管理水平,构建安全可靠的金融服务环境。
·主体认证:应用分发平台应对金融类APP开发者的信息进行真实性审核并留存审核记录,不应为个人开发者提供金融类APP分发服务,并签订协议明确权责。
·上架审核:审核APP资质、安全性、内容及广告合规性等,非金融机构需提供金融机构授权文件。
·上架展示:需展示备案号、认证标签,并在介绍页面对金融APP进行风险提醒。
·在架巡查:定期巡查APP行为,发现违规及时处置,并报送至移动互联网应用程序的检测及认证公共服务平台。
·申诉投诉:建立开发者和用户反馈渠道,及时处理申诉与投诉,保障各方合法权益。
《T/TAF 286—2025 金融类APP用户权益保护技术要求》
旨在保护用户个人信息和财产安全,规范金融类APP个人信息处理、用户金融交易安全和金融网络营销等行为,指导开发者在产品设计、开发、运营过程中提升用户权益保护水平,维护消费者合法权益。
梆梆安全专家指出,T/TAF 286—2025从技术和管理双维度提出明确要求:
一、技术维度
标准首先明确了金融类应用的范围,涵盖包括互联网信息服务提供者提供的可通过网站、应用商店等应用分发平台进行下载、安装与升级的各类金融应用程序。在技术要求方面,标准聚焦于隐私合规与数据安全两大方向。隐私合规维度贯穿个人信息处理的全生命周期——包括收集、存储、使用、传输、提供等环节,系统的提出保护用户合法权益和金融交易安全的具体规定。
在用户金融交易安全要求中,8.1防伪造和8.3防攻击需要重点关注:
8.1防伪造:a)APP应采用适宜的身份验证要素,包括但不限于口令、短信验证码、手势密码、生物特征识别等方式。使用生物特征技术进行身份确认或识别,应对引用技术的安全性进行充分评估,采取适当的措施阻止已知的伪造攻击手段,降低伪造身份通过确认或识别的可能性。
梆梆安全专家分析,标准充分考量生物识别技术如声纹、人脸识别等可能带来的风险,明确要求在使用生物特征进行身份识别及确认时,应对所采用技术的安全性开展充分评估,并采取有效措施抵御已知伪造攻击手段,最大限度降低身份冒充风险。同时强调,采用人脸识别技术的金融类应用,需重点防范人脸绕过漏洞,强化相关防护机制。
防攻击:a)APP应具备基本的抗攻击能力,使用代码加壳、代码混淆等手段抵御静态分析、动态调试等操作;b)APP应避免使用存在已知漏洞的系统组件与第三方组件;c)APP应件应对软件接口进行保护,防止其他应用对客户端应用软件接口进行非授权调用;d)APP应对传入的URL进行校验与安全处理,防止APP运行异常或操作异常;e)APP应对接口的异常行为、脆弱性、敏感信息泄露等问题进行风险识别和监控,具备信息泄露等风险溯源能力,准确定位攻击威胁;f)APP应提供客户输入支付敏感信息的实时防护功能,并对内存中的支付敏感信息进行保护,例如逐字符加密、自定义软键盘、防范键盘窃听技术等措施;g)APP应具备对运行环境的检查能力,发现客户端环境存在重大安全缺陷或安全威胁时,应采取必要措施对用户进行警示或拒绝交易。
梆梆安全专家分析,标准明确指出APP应具备基本的抗攻击能力,建议将加固作为应用上线前的必要步骤;同时对SDK实行与APP同级的安全管理;针对应用接口的安全问题,标准提到应保护软件接口,防止非授权调用,并监控异常与漏洞,具备风险识别与信息泄露溯源能力,以准确定位威胁,金融单位需要关注应用运行阶段客户端环境以及API接口的安全性。
在用户信息保护方面,标准提出应实现支付敏感信息输入与内存中的实时防护,建议采取逐字符加密、自定义软键盘、防键盘窃听等技术,推荐借助专业安全键盘强化防护。同时,强调算法与密钥安全管理,要求对代码签名密钥进行严格保护,避免明文密钥出现在客户端,确保密钥安全存储与使用。
二、管理维度
标准就企业合规体系建设提出关键建议,以下两点需特别重视:
(1)金融类APP体系建设定期梳理用户权益保护法律法规清单,全面识别企业可能面临的合规风险点,建立相应的合规风险评估流程,定期开展合规风险评估。对个人权益有重大影响的个人信息处理活动的,应开展个人信息保护影响评估。
(2)APP运营主体应提升用户权益保护评价能力,通过自评估或委托专业机构对保护措施及执行情况开展合规审计,持续优化管理体系。
在数字经济时代,个人信息保护不仅是法律合规的必然要求,更是金融机构建立用户信任的重要基础。金融类APP直接关联个人财产与敏感信息,其安全水平关乎用户权益与金融系统的稳定。金融企业应全面落实用户信息全生命周期管理责任,积极推动自身由被动合规向主动治理转变。梆梆安全愿携手各类金融机构,持续强化个人信息保护防线,共同构建安全、可靠、可信的数字金融新生态。