17

Nowy, wielopoziomowy atak na usługi bankowe. Android nie ma spokoju

Użytkownicy austriackiego banku Bank Austria (członek grupy UniCredit) muszą niezwykle uważać. Eksperci alarmują o świetnie przygotowanej akcji wymierzonej głównie w użytkowników systemu Android. Od innych ataków mających za cel usługi bankowe odróżnia go jednak wielopoziomowość całego procederu - cyberprzestępcy niezwykle wyrafinowanie próbują ukryć swoje prawdziwe zamiary.

Hakerzy wykorzystują dobrze już znane zagrożenie Marcher, które znane jest już od roku 2013. Ze względu na swoją uniwersalność, w dalszym ciągu jest wykorzystywane przez różnych cyberprzestępców. W najnowszej odsłonie, hakerzy wykorzystują po pierwsze phishing – do użytkowników wysyłane są spreparowane wiadomości e-mail, za pomocą których rozsyłane są złośliwe linki ukryte za bit.ly, które prowadzą do witryn udających jedynie oficjalne strony Bank Austria. Wszyscy ci, którzy klikną w nie, zostaną poproszeni o podanie swoich danych – adresu e-mail oraz numeru telefonu. Jak widać – nikt nie prosi o numer klienta, ani o hasło, co może wzbudzić zaufanie użytkowników.

Po tym dopiero zaczyna się właściwy atak – z użyciem socjotechniki

Mając takie dane, cyberprzestępcy mogą rozsyłać wprowadzające w błąd użytkowników komunikaty. Wykorzystując pozyskane dane kontaktowe, mogą oni utrzymywać „relacje” z potencjalnymi ofiarami. Wiadomo o tym, iż hakerzy rozsyłali wiadomości, które mówią o konieczności pobrania dodatkowej aplikacji, która ma na celu zapewnienie większego poziomu bezpieczeństwa – Bank Austria Security App. Ponadto, komunikat zawiera informacje o tym, iż w związku z walką UE z praniem brudnych pieniędzy, instalacja owego oprogramowania jest obowiązkowa dla każdego posiadacza rachunku w tym banku – jeżeli tego nie zrobi, jego konto zostanie zablokowane. Oferowany jest kolejny ukryty za bit.ly link, który prowadzi bezpośrednio do aplikacji.

Android Marcher

Po pobraniu programu i jego zainstalowaniu, użytkownik jest proszony o przyznanie mu specjalnych uprawnień. Wymaganie m. in. możliwości nadpisywania oraz odczytywania pamięci wewnętrznej, kontrolowania wiadomości SMS, czy położenia telefonu powinny zaalarmować użytkowników i skłonić ich do przemyślenia sprawy. W pewnych przypadkach tak się jednak nie dzieje i infekcja postępuje dalej – wykradane są m. in. dane o kartach kredytowych. Jak to się dzieje? Wystarczy, że użytkownik przejdzie do sklepu Google Play – pracujący w tle Marcher zapyta użytkownika raz jeszcze o dane jego środka płatniczego – tak, jakby robiła to aplikacja Google. Mało tego, cyberprzestępcy korzystają z brandingu banku celem utrzymania użytkownika w świadomości, iż nie robi niczego niebezpiecznego.

Jak się okazuje, całkiem sporo użytkowników wpadło w tę pułapkę. Już teraz donosi się o tym, że około 20 000 osób pobrało i zainstalowało Marchera w związku z działaniami socjotechnicznymi cyberprzestępców. Jak widać – wcale nie trzeba wykorzystywać podatności Androida, aby skutecznie wykradać dane. Mimo wszystko, imponuje również wyrafinowanie cyberprzestępców, którzy świetnie przygotowali swój atak.

  • Maks Cavallera

    Czyli nie jest winny Android tylko sami użytkownicy.
    1. Otwieranie podejrzanych e-maili.
    2. Podawanie danych. Nigdy jeszcze żaden z 4 banków jakich używałem nie prosił mailowo o numer telefonu i email. Mają już to w systemie.
    3. Instalowanie apki, jeśli już ktoś się nabrał na punkty 1 oraz 2 i bezmyślne nadanie jej zbędnych uprawnień.

    Tytuł trochę wprowadza w błąd, bo sugeruje złe zabezpieczenie Androida, a to użytkownik musi pobrać, zainstalować i nadać uprawnienia apce.

    • „Jak widać – wcale nie trzeba wykorzystywać podatności Androida, aby skutecznie wykradać dane. Mimo wszystko, imponuje również wyrafinowanie cyberprzestępców, którzy świetnie przygotowali swój atak.”

      :)

  • railleur

    To nie takie proste ukraść pieniądze, jak się niektórym blogerom-teoretykom wydaje. Banki mają swoje sposoby na sprawdzenie przelewu na jakieś nieznane konto. Na przykład w moim banku musiałbym czekać 48 godz na wysłanie przelewu za granicę. A gdzie sprawdzenie IP… tak samo i złodziej nie wypłaci większej gotówki z bankomatu itp…

    • Morski Morświn

      Widać że się kompletnie nie znasz i skroją cię jako pierwszego… czekają tylko aż w końcu będziesz coś miał na tym koncie hahaha

    • railleur

      Ŀykaj te sponsorowane bzdury hakerski miszczu. Od początku elektronicznej bankowości nie spotkałem nikogo, kogo by okradli hakerzy, po prostu nie słyszałem o takim przypadku. To było na windowsie, ale takie bajki na mobilnym systemie? To tylko dla takich leszczy jak ty.

    • Indjana

      Mało widziałeś, mało wiesz, nie znasz się.

    • railleur

      Napisz więc, co widziałeś.

    • Morski Morświn

      Hehe twojego xiaomiego to nawet gimbaza złamie. Spoko ziom rób co chcesz mam to gdzieś

    • Elmot

      Czemu za granicę, i czemu nie przelew błyskawiczny?

    • booz

      mnie kiedyś miło zaskoczył nocny telefon z banku… w łóżku przeczytałem że android play ma promocje na wiele aplikacji i zacząłem nabywać kilka co zaskutkowało kilkoma płatnościami z karty w krótkim odstępie czasu na poziomie 99 czy 97 groszy :) – po jakichś 5 minutach zadzwonił do mnie pracownik z Banku z pytaniem czy potwierdzam takie płatności bo zaniepokoiła i ich ta ilość, kwoty i opis google w opisie :)

    • railleur

      Oczywiście, że płatności są monitorowane przez pracowników banku i niektórym wydaje się takie proste. W moim banku na aktualizacje moich wydatków czekam nawet 2 dni. Dawno temu miałem przypadek gdy w domu nie było internetu i poszedłem do kafejki internetowej puścić pilny przelew. Wpisałem adres www banku, loguje się i zaraz wyskakuje mi, żebym wpisał 5 kodów, bo coś tam… Przyznaję, nie patrzyłem dobrze na stronę banku, byłem w myślach zajęty czym innym. Kodów nie podałem, zadzwoniłem do banku i pani kazała natychmiast zmienić hasło. Po dwóch tygodniach tłumaczyłem całe zdarzenie na policji.

  • Krzysztof Jaworski

    A wystarczy porostu logować się do banku tylko poprzez każdorazowe wpisanie adresu strony w przeglądarkę.

    • To też dobra metoda, o ile nikt Cię nie przekieruje. ;)

  • Roman Rarog

    Darwin działa – pieniądz krąży.

  • Luke

    Wysyłają do Ciebie maila i proszą o podanie Twojego adresu mailowego? :)

    • Dokładnie tak. ;) Celem potwierdzenia, że np. dostałeś wiadomość i zapoznałeś się z nią i wierzysz w takie rzeczy. ;)

    • railleur

      Przecież to przepoczwarzony artykuł do poprzednich o mbanku. Linki prowadzą do tej samej malutkiej firmy SfyLabs zarejestrowanej w Holandii i powiązanej z Kasperskim? Trojan działa podobno tylko na Androidzie 6.
      https://clientsidedetection.com/marcher.html