komentář
Falešné bankovní aplikace útočí Miroslav Dvořák
Kauza aplikace QRecorder je jen špičkou ledovce, ale názorně nám ukázala, že ani Google Play nemusí být spolehlivým zdrojem neškodných aplikací. Pokusů o vykradení bankovních účtů pomocí mobilního telefonu s Androidem rapidně přibývá. Obvykle se nestává, že by informace o nějaké škodlivé aplikaci naprosto ovládla média. Nástroji pro nahrávání hovorů QRecorder, z něhož se po jedné z pravidelných aktualizací stal nebezpečný prostředek pro přístup k bankovním účtům jeho uživatelů, se to podařilo měrou vrchovatou. Zpráva o falešné aplikaci, která dokáže „vyluxovat“ bankovní účet a jež si podle informací z Google Play nainstalovaly desítky tisíc uživatelů smartphonů s operačním systémem Android v České republice, obsadila titulní strany celostátních deníků a rezonovala v hlavních televizních zprávách.
Nezvyklé cílení na české uživatele
Co se tedy stalo? Původně legitimní aplikace QRecorder byla tzv. ztrojanizována. To znamená, že útočníci ji po aktualizaci na novější verzi zneužili pro šíření malwaru, konkrétně trojanu, který detekujeme jako Android/ Spy.Banker.AIX. Trojan umožnil útočníkům stáhnout do chytrého telefonu s operačním systémem Android nebezpečný obsah v podobě dalšího APK balíčku, a ovládnout tak některé funkce zařízení. Z dosavadních informací vyplývá, že v první fázi škodlivý kód zjišťuje, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné, a nemusí jít pouze o bankovní aplikace. Následně je do telefonu stažen další instalační aplikační balíček, jenž zajistí funkce potřebné k vytvoření neviditelné vrstvy nad cílovou aplikací, například internetovým bankovnictvím, ke snímání přihlašovací údajů uživatele a manipulaci s platbami v rámci bankovnictví. Útočníci měli rovněž možnost manipulace s SMS zprávami, které jsou nejčastějším druhým ověřovacím faktorem při převodech
peněz. Nic jim tudíž nebránilo, aby si vzdáleně posílali peníze z účtu napadeného uživatele na cizí bankovní účty bez jeho vědomí. Tato konkrétní škodlivá aktualizace aplikace QRecorder cílila na uživatele, kteří používají jako jazyk uživatelského rozhraní češtinu, polštinu nebo němčinu. Tato situace je poměrně výjimečná: cílení na české uživatele je vzácné. Česko není typickým cílovým „trhem“ pro kyberzločince.
Falešných bankovních aplikací přibývá
Co však není výjimečné a v posledních letech se vyskytuje stále častěji, jsou falešné bankovní aplikace, které se snaží z uživatelů vylákat přihlašovací údaje či informace o platebních kartách. Přestože platí, že cílení na náš region je výjimečné, krátce po objevení škodlivé aktualizace QRecorderu jsme objevili další lokální podvodnou aplikaci. Šlo o aplikaci pro internetové bankovnictví Fio Banky, jež kradla všechny přijaté SMS zprávy. Podle dostupných indicií šlo nejspíše o testovací verzi škodlivé aplikace, nicméně již plně komunikující v češtině. Na Google Play lze ovšem narazit i na další aplikace, které se snaží napodobit různé evropské i světové banky, ale například i burzy kryptoměn. V těchto případech útočníci zneužívají faktu, že konkrétní finanční služba nemá vlastní aplikaci pro Android a vytvoří její podvodnou verzi.
Jak postupovat, pokud jste aplikaci instalovali
Pokud se obáváte, že jste si nainstalovali a použili jednu ze škodlivých bankovních aplikací, doporučujeme vám ji okamžitě odinstalovat.
30
Reseller Magazine
Zároveň změňte PIN u své platební karty, přístupové heslo k vašemu internetovému bankovnictví a zkontrolujte své bankovní účty, zda na nich neproběhly nějaké podezřelé transakce. Pokud ano, neprodleně o nich informujte svoji banku. Abyste se v budoucnu nestali obětí phishingu a dalších podvodných aplikací, doporučujeme vám dodržovat několik základních bezpečnostních pravidel: Aplikace pro Android stahujte pouze z oficiálního obchodu Google Play, byť to samo o sobě nezaručuje, že se stoprocentně vyhnete podvodným aplikacím. V neoficiálních obchodech třetích stran se ale škodlivé aplikace vyskytují častěji a zřídkakdy bývají odstraněny, pokud dojde k jejich odhalení. Google Play tak činí zpravidla v řádu hodin. Věnujte pozornost informaci o požadovaných oprávněních aplikace, počtu stažení, jejímu hodnocení od uživatelské komunity ještě předtím, než si ji z Google Play stáhnete do svého zařízení. Citlivé údaje vyplňujte pouze do takových internetových formulářů, u kterých jste si jisti jejich zabezpečením a důvěryhodností. Pravidelně aktualizujte operační systém Android na vašem zařízení i všechny nainstalované aplikace. Používejte důvěryhodné a kvalitní bezpečnostní aplikace pro mobilní zařízení. Produkty společnosti Eset tyto škodlivé aplikace detekují a blokují. Autor pracuje jako technický ředitel ve společnosti Eset. listopad 2018 | www.rmol.cz