Szkodliwy program w Google Play… Wykradał dane klientów banków

W oficjalnym sklepie z aplikacjami dla systemu Android kolejny raz znaleziono szkodliwy program, który próbuje wykraść pieniądze klientów banków w Europie.

QRecorder został pobrany 10 000 razy[1]. W skali wszystkich aplikacji w Google Play i aktywnych użytkowników sklepu, ta liczba może nie robić dużego wrażenia. Pokazuje jednak, że problem ze szkodnikami w sklepie Google cały czas istnieje i mimo starań producenta, ciężko jest to zjawisko wyeliminować. Na chwilę obecną wiadomo o przynajmniej dwóch ofiarach z Czech oraz stratach sięgających prawie 11 000 euro.

Aplikacja była przedstawiona jako program do automatycznego nawiązywania połączeń i rejestrowania rozmów telefonicznych. Niestety po instalacji szkodnik mógł przechwytywać wiadomości i prosić użytkownika o dostęp do dodatkowych opcji. W ten sposób możliwe było przejmowanie kodów jednorazowych dystrybuowanych przy pomocy SMS-ów. Dwuskładnikowa autoryzacja mogła w tym przypadku zostać ominięta.

Źródło: https://www.bleepingcomputer.com/news/security/trojanized-app-in-google-play-steals-bank-customers-euros/
Źródło: https://www.bleepingcomputer.com/news/security/trojanized-app-in-google-play-steals-bank-customers-euros/

Eksperci z firmy ESET, którzy przeanalizowali zagrożenie przyznali, że zaimplementowana funkcja nagrywania rozmów działała tak jak trzeba, zatem ofiara nie miała podstaw do tego,  by uznać program za potencjalnie niebezpieczny.

Atak polegał na sprawdzeniu telefonu pod kątem zainstalowanych programów. Jeżeli na liście znajdowała się jedna z tych (mobilnych aplikacji bankowych), którą za cel obrali sobie atakujący, program przystępował do działania. Kiedy użytkownik uruchamiał program, szkodnik wyświetlał fałszywy ekran tak by imitować aplikację bankową. W ten sposób dane potrzebne do logowania były przekazywane twórcy aplikacji. Lista banków, które zostały obrane za cel była długa i dotyczyła głównie użytkowników z Czech, Polski oraz Niemiec.

Źródło: https://www.bleepingcomputer.com/news/security/trojanized-app-in-google-play-steals-bank-customers-euros/
Źródło: https://www.bleepingcomputer.com/news/security/trojanized-app-in-google-play-steals-bank-customers-euros/

Na poniższym filmie widać jak wygląda atak konia trojańskiego:

Aby uniknąć szkodliwego oprogramowania na Androidzie, należy pamiętać o kilku czynnościach:

  • Regularnym aktualizowaniu systemu oraz aplikacji, jeżeli jest to tylko możliwe
  • Instalowaniu aplikacji tylko z oficjalnego źródła
  • Nawet przy wyborze Google Play, warto zwrócić uwagę kto jest twórcą aplikacji, ile wynosi liczba pobrań oraz jakie są opinie o programie.
  • Warto rozważyć zainstalowanie aplikacji antywirusowej dla mobilnego systemu
  • Regularnie wykonuj kopię zapasową systemu oraz plików

[1]https://www.bleepingcomputer.com/news/security/trojanized-app-in-google-play-steals-bank-customers-euros/