android malware

Atak na polskich u偶ytkownik贸w bankowo艣ci mobilnej

W oficjalnym sklepie Google Play pojawi艂y si臋 dwie niebezpieczne aplikacje. Ich ukrytym celem by艂o wykradanie dost臋pu mobilnego do kont bankowych i okradanie rachunk贸w. Wed艂ug ekspert贸w firmy ESET na celowniku cyberprzest臋pc贸w znalaz艂y si臋 aplikacje mobilne a偶 14 polskich bank贸w.

Fa艂szywe, z艂o艣liwe aplikacje, kt贸re z ko艅cem listopada pojawi艂y si臋 w sklepie Google Play to CryptoMonitor oraz StorySaver. Pierwszy z program贸w ma rzekomo s艂u偶y膰 do monitorowania cen krytpowalut, natomiast druga z wymienionych aplikacji teoretycznie mia艂a s艂u偶y膰 do zapisywania tzw. Stories z Instagrama, czyli kr贸tkich historii u偶ytkownika z ostatniej doby. Obie aplikacje wykonywa艂y zadania, kt贸re wynika艂y z opis贸w zamieszczonych w Google Play, ale ich prawdziwym celem by艂o generowanie powiadomie艅 systemowych wygl膮daj膮cych identycznie jak powiadomienia generowane przez aplikacje bankowo艣ci elektronicznej, z kt贸rych korzysta艂 u偶ytkownik-ofiara ataku.

malware
Obie z艂o艣liwe aplikacje by艂y dost臋pne w oficjalnym sklepie Google Play (fot. ESET/Google Play).

Bezpo艣rednio po zainstalowaniu ka偶dy z wymienionych z艂o艣liwych program贸w rozpoczyna艂 skanowanie mobilnego systemu w poszukiwaniu zainstalowanych wcze艣niej przez u偶ytkownika aplikacji bankowo艣ci mobilnej. Je偶eli wykryta zosta艂a aplikacja jednego z czternastu bank贸w „obs艂ugiwanych” przez malware, z艂o艣liwy program imitowa艂 dzia艂anie aplikacji bankowej generuj膮c powiadomienie systemowe o rzekomej wiadomo艣ci z banku lub wymuszaj膮c logowanie do rachunku bankowego.

Perfidia tego ataku polega na tym, 偶e cyberprzest臋pcy najpierw sprawdzali z jakiego faktycznie banku korzysta u偶ytkownik, a dopiero potem „podk艂adali” fa艂szywk臋 w postaci np. formularza do logowania do rachunku – w ten spos贸b dane uwierzytelniaj膮ce trafia艂y do przest臋pc贸w. U偶ytkownikowi np. mBanku wy艣wietla艂o si臋 powiadomienie wygl膮daj膮ce jak wygenerowane przez aplikacj臋 mBanku, a np. osobie korzystaj膮ce z aplikacji Alior Banku, powiadomienie „udaj膮ce” aplikacj臋 tej w艂a艣nie instytucji finansowej.

Co gorsza – jak twierdz膮 specjali艣ci firmy ESET – obie aplikacje by艂y zdolne do przechwytywania bez wiedzy u偶ytkownika wiadomo艣ci SMS zawieraj膮cych jednorazowe kody autoryzacji transakcji online. Cho膰 firma ESET od razu powiadomi艂a Google o wykrytych szkodnikach, wiadomo, 偶e oba programy zosta艂y pobrane przez polskich u偶ytkownik贸w Google Play kilka tysi臋cy razy.

Fa艂szywe powiadomienie bankowe
Fa艂szywe powiadomienie bankowe podszywaj膮ce si臋 pod aplikacj臋, kt贸ra faktycznie jest zainstalowana na smartfonie ofiary (fot. ESET).

Kamil Sadkowski, analityk zagro偶e艅 z ESET powiedzia艂: „Jak pokazuj膮 nasze dane, ponad 96% wykrytych przypadk贸w instalacji pochodzi z Polski, pozosta艂e 4% maj膮 swoje 藕r贸d艂o w Austrii”. Jednocze艣nie ekspert przestrzega, 偶e je偶eli ktokolwiek mia艂 na swoim mobilnym urz膮dzeniu z Androidem jedn膮 z wymienionych aplikacji oraz korzysta艂 z aplikacji mobilnej jednego z czternastu bank贸w (lista na ko艅cu materia艂u), to nale偶y sprawdzi膰 histori臋 transakcji – mo偶liwe 偶e przest臋pcom uda艂o si臋 wykra艣膰 艣rodki z konta ofiary.

Oto lista 14 aplikacji bankowych, pod kt贸re umiej臋tnie podszywa艂 si臋 opisywany malware na Androida:

  1. Alior Mobile
  2. BZWBK24 mobile
  3. Getin Mobile
  4. IKO
  5. Moje ING Mobile
  6. Bank Millenium
  7. mBank PL
  8. BusinessPro
  9. Nest Bank
  10. Bank Pekao
  11. PekaoBiznes24
  12. plusbank24
  13. Mobile Bank
  14. Citi Handlowy

To nie pierwszy raz, kiedy klienci polskich bank贸w s膮 atakowani w ten spos贸b. Ca艂kiem niedawno mia艂 miejsce podobny atak dotycz膮cy g艂贸wnie u偶ytkownik贸w aplikacji mBanku – pisali艣my o nim w tej informacji.聽聽| CHIP