Atak na polskich użytkowników bankowości mobilnej

Fałszywe, złośliwe aplikacje, które z końcem listopada pojawiły się w sklepie Google Play to CryptoMonitor oraz StorySaver. Pierwszy z programów ma rzekomo służyć do monitorowania cen krytpowalut, natomiast druga z wymienionych aplikacji teoretycznie miała służyć do zapisywania tzw. Stories z Instagrama, czyli krótkich historii użytkownika z ostatniej doby. Obie aplikacje wykonywały zadania, które wynikały z opisów zamieszczonych w Google Play, ale ich prawdziwym celem było generowanie powiadomień systemowych wyglądających identycznie jak powiadomienia generowane przez aplikacje bankowości elektronicznej, z których korzystał użytkownik-ofiara ataku.
android malware
android malware

malware
Obie złośliwe aplikacje były dostępne w oficjalnym sklepie Google Play (fot. ESET/Google Play).

Bezpośrednio po zainstalowaniu każdy z wymienionych złośliwych programów rozpoczynał skanowanie mobilnego systemu w poszukiwaniu zainstalowanych wcześniej przez użytkownika aplikacji bankowości mobilnej. Jeżeli wykryta została aplikacja jednego z czternastu banków “obsługiwanych” przez malware, złośliwy program imitował działanie aplikacji bankowej generując powiadomienie systemowe o rzekomej wiadomości z banku lub wymuszając logowanie do rachunku bankowego.

Perfidia tego ataku polega na tym, że cyberprzestępcy najpierw sprawdzali z jakiego faktycznie banku korzysta użytkownik, a dopiero potem “podkładali” fałszywkę w postaci np. formularza do logowania do rachunku – w ten sposób dane uwierzytelniające trafiały do przestępców. Użytkownikowi np. mBanku wyświetlało się powiadomienie wyglądające jak wygenerowane przez aplikację mBanku, a np. osobie korzystające z aplikacji Alior Banku, powiadomienie “udające” aplikację tej właśnie instytucji finansowej.

Co gorsza – jak twierdzą specjaliści firmy ESET – obie aplikacje były zdolne do przechwytywania bez wiedzy użytkownika wiadomości SMS zawierających jednorazowe kody autoryzacji transakcji online. Choć firma ESET od razu powiadomiła Google o wykrytych szkodnikach, wiadomo, że oba programy zostały pobrane przez polskich użytkowników Google Play kilka tysięcy razy.

Fałszywe powiadomienie bankowe
Fałszywe powiadomienie bankowe podszywające się pod aplikację, która faktycznie jest zainstalowana na smartfonie ofiary (fot. ESET).

Kamil Sadkowski, analityk zagrożeń z ESET powiedział: “Jak pokazują nasze dane, ponad 96% wykrytych przypadków instalacji pochodzi z Polski, pozostałe 4% mają swoje źródło w Austrii”. Jednocześnie ekspert przestrzega, że jeżeli ktokolwiek miał na swoim mobilnym urządzeniu z Androidem jedną z wymienionych aplikacji oraz korzystał z aplikacji mobilnej jednego z czternastu banków (lista na końcu materiału), to należy sprawdzić historię transakcji – możliwe że przestępcom udało się wykraść środki z konta ofiary.

Oto lista 14 aplikacji bankowych, pod które umiejętnie podszywał się opisywany malware na Androida:

  1. Alior Mobile
  2. BZWBK24 mobile
  3. Getin Mobile
  4. IKO
  5. Moje ING Mobile
  6. Bank Millenium
  7. mBank PL
  8. BusinessPro
  9. Nest Bank
  10. Bank Pekao
  11. PekaoBiznes24
  12. plusbank24
  13. Mobile Bank
  14. Citi Handlowy

To nie pierwszy raz, kiedy klienci polskich banków są atakowani w ten sposób. Całkiem niedawno miał miejsce podobny atak dotyczący głównie użytkowników aplikacji mBanku – pisaliśmy o nim w tej informacji.  | CHIP