Uważajcie na te dwie aplikacje. Wykradały dane bankowe
Firma ESET donosi, że użytkownicy aż 14 polskich banków narażeni się na ataki mające na celu wykradanie dostępu do ich rachunków i kont bankowych. O jakie aplikacje chodzi? Jak się przed nimi bronić?
CryptoMonitor i StorySaver - omijajcie je szerokim łukiem
Firma ESET odkryła w sklepie Google Play dwie niebezpieczne aplikacje, które wymierzone zostały w użytkowników polskich usług bankowych. Są to:
- CryptoMonitor - miał śledzić zmiany cen kryptowalut;
- StorySaver - miał pobierać \Stories\ z usługi Instagram.
Aplikacje, które zostały wydane z końcem listopada, na pierwszy rzut oka nie wyglądają groźne. Każda z nich została jednak dodatkowo wyposażona w funkcję generowania powiadomień systemowych, które wyglądały identycznie jak te z popularnych programów bankowych.
Zarówno CryptoMonitor, jak i StorySaver, wyświetlały fałszywe formularze logowania oraz miał możliwość przechwytywania wiadomości SMS. Dzięki temu ich twórcy nie tylko mogli wpaść w posiadanie loginu i hasła, ale również zyskać możliwość autoryzacji transakcji przeprowadzanych przez internet.
Jak dokładnie działały złośliwe aplikacje?
Eksperci ESET wskazują, że oba programy działały identycznie. Po tym, gdy zostały już pobrane i zainstalowane, rozpoczynały skanowanie pamięci telefonu w poszukiwaniu aplikacji bankowych. Jeżeli udało im się odnaleźć jedną z wcześniej określonych pozycji, to zaczynały się pod nią podszywać.
Celem ataku było 14 popularnych aplikacji bankowych:
- Alior Mobile;
- BZWBK24 mobile;
- Getin Mobile;
- IKO;
- Moje ING mobile;
- Bank Millennium;
- mBank PL;
- BusinessPro;
- Nest Bank;
- Bank Pekao;
- PekaoBiznes24;
- plusbank24;
- Mobile Bank;
- Citi Handlowy.
Programy wyświetlały swojej ofierze w powiadomieniach systemowych informację „Nowa wiadomość z banku” lub wymuszały logowanie do rachunku bankowego. Przyznane im uprawnienia dawały do tego dostęp do otrzymywanych wiadomości SMS, co umożliwiało odszukiwanie kodów autoryzacyjnych.
Jak wielu użytkowników dotknął ten problem?
CryptoMonitor i StorySaver szybko po wykryciu przez ESET zostały usunięte z Google Play, ale twórcy popularnego oprogramowania antywirusowego donoszą, że zostały one pobrane przez kilka tysięcy użytkowników.
Wykrywamy obie aplikacje jako zagrożenie Android/Spy.Banker.QL i uniemożliwiamy jego instalację. Jak pokazują nasze dane, ponad 96 proc. wykrytych przypadków pochodzi z Polski (pozostałe 4 proc. mają swoje źródło w Austrii).
Osoby, które pobrały złośliwe aplikacje, powinny szybko je usunąć, a następnie "zająć się" swoimi kontami bankowymi. Podstawą jest zmiana hasła i sprawdzenie historii transakcji, które wykonywane były w ostatnim czasie. W przyszłości każdy z tych użytkowników powinien zwracać jeszcze większą uwagę na uprawnienia, jakich żądają od niego instalowane aplikacje.
PS. Dość zastanawiające jest to, że wspomniane programy trafiły w ogóle do bazy Google Play. Nie chcę oskarżać giganta o brak kontroli na sklepem, ale w obu przypadkach wystarczyły dokładnie przyjrzeć się aplikacjom, aby wykryć, że robią sporo więcej niż wskazywałyby na to opisy twórców.
