Výskumníci bezpečnostnej spoločnosti ESET objavili androidového trójskeho koňa, ktorý dokáže kradnúť prístupové údaje do mobilných bankových aplikácií, ktoré majú ľudia nainštalované na mobilných zariadeniach s operačným systémom Android.
Škodlivý kód používateľovi zobrazí falošný prístup do internet bankingu pri otvorení aplikácie banky a uzamkne monitor a čaká, kým obeť vloží svoje prihlasovacie údaje. Použitím týchto ukradnutých údajov sa útočníci dokážu dostať do účtu svojej obete a obrať ju o peniaze. Škodlivý kód môže dokonca posúvať útočníkom SMS správy z banky, ktoré prišli do infikovaného zariadenia a zároveň ich z neho aj zmazať. „Toto umožňuje obídenie SMSkového dvojfaktorového zabezpečenia bez toho, aby to vyvolalo podozrenie u majiteľa infikovaného zariadenia,“ vysvetľuje Lukáš Štefanko, výskumník škodlivého kódu zo spoločnosti ESET, ktorý sa špecializuje na androidový malware.
Prekrytý prihlasovací panel do internet bankingu
Trójsky kôň sa šíri ako imitácia aplikácie Flash Player. Po stiahnutí a inštalácii si aplikácia vyžiada administrátorské práva, aby bola chránená pred jednoduchou odinštaláciou. Následne si škodlivý kód preverí, či je na zariadení nainštalovaná aplikácia jednej z cieľových bánk. Ak áno, zo svojho riadiaceho servera získa falošný prihlasovací panel do aplikácie, ktorej výzor kopíruje skutočný prihlasovací panel do bankovej aplikácie. Keď si potom obeť otvorí bankovú aplikáciu, zobrazí sa jej falošný prihlasovací panel prekrývajúci skutočný prihlasovací panel. Obrazovka infikovaného zariadenia je v tomto momente zablokovaná až do momentu, kedy obeť do panela vloží svoje prihlasovacie údaje.
Stále sa zlepšuje
Tento škodlivý kód sa neustále vyvíja. Zatiaľ čo jeho prvé verzie boli jednoduché a ich škodlivý úmysel bol jednoducho spozorovateľný, aj aktuálnejšie verzie majú lepšie šifrovanie a aj sa lepšie zatajujú. Kampaň objavená ESETom sa zameriava na zákazníkov veľkých bánk v Austrálii, na Novom Zélande a v Turecku. Škodlivý kód však môže byť jednoducho prerobený tak, aby útočil na zákazníkov bánk aj v úplne iných regiónoch. „Útok je veľký a jednoduchým spôsobom môže byť presmerovaný na iné vybrané banky,“ varuje Štefanko.
Pozor aj na falošné hry
ESET zároveň analyzoval jeden z najväčších útokov cielených na oficiálny digitálny obchod Google Play a jeho zákazníkov. Za posledných sedem mesiacov sa kybernetickým kriminálnikom podarilo vytvoriť minimálne 343 škodlivých aplikácií, ktoré na pozadí otvárajú porno stránky a klikajú na inzerciu v nich. Z toho je odvodený ich názov Porn clicker trojany. Používateľovi tieto aplikácie míňajú predplatené dáta u operátora, prípadne navyšujú jeho účet za mobilné internetové služby. Porn clicker trojany sa maskujú za legitímne aplikácie, obzvlášť známe hry. V priemere sa zabezpečenie Google Play podarilo za týždeň obísť desiatim novým porn clickerom.
Recenzie na aplikácie – čítajte pozorne
Po inštalácii generujú aplikácie falošné kliky na porno webstránkach, ktoré pootvárajú na pozadí. To operátorom týchto škodlivých aplikácií generuje zisk. Používateľ je tak oberaný o svoje mobilné internetové dáta. Napriek tomu, že porn clickery úspešne zatajujú svoju skutočnú činnosť, bežní používatelia majú veľmi dobrú šancu sa im vyhnúť. „Hodnotenia týchto falošných aplikácií odzrkadľujú zlú skúsenosť ich používateľov. Negatívne hodnotenia ďaleko prevyšujú počet pozitívnych. Hodnotenia ostatne považujeme za mocný bezpečnostný nástroj a používateľom odporúčame si ich všímať,“ uzatvára Štefanko. ESET tieto mobilné trójske kone chytajú.
Zaujímavosťou je, že niektoré verzie porn clickerov kontrolujú, či je na infikovanom zariadení nainštalovaná antivírusová aplikácia. V prípade jej prítomnosti porn clicker svoju škodlivú aktivitu nespustí. Bezpečnostná mobilná aplikácia vás však ochráni aj pred škodlivým kódom, ktorý sa antivírusu nezľakne. Vyskúšať môžete napríklad ESET Mobile Security pre Android, za prvý mesiac testovania nič neplatíte.