19

Dwie złośliwe aplikacje w Google Play atakujące użytkowników aplikacji 14 polskich banków

To już drugi raz w przeciągu miesiąca listopada, kiedy to specjaliści z ESET wykryli w sklepie Google Play aplikacje, które wykradają dane do logowania do polskich banków.

O pierwszym przypadku pisałem Wam w połowie listopada, wtedy to wykryto aż 8 takich aplikacji, ESET zgłosiło je do Google i te zostały usunięte.

Tym razem wykryto dwie złośliwe aplikacje. Jedna to CryptoMonitor, służąca do rzekomego śledzenia cen kryptowalut, druga to StorySaver, która miała umożliwiać pobieranie z Instagrama Stories, udostępnianych tam przez ich użytkowników.

Aplikacje te wyświetlały dodatkowo powiadomienia systemowe, identyczne do tych, które znamy z naszych banków oraz formularze do logowania, dzięki którym wykradały dane klientów polskich banków.

Co najgorsze, obie aplikacje potrafiły również bez wiedzy użytkownika przechwytywać wiadomości SMS, zawierające kody do autoryzowania transakcji online. Zanim przedstawiciele ESET zgłosili je do Google, zostały pobrane kilka tysięcy razy przez polskich użytkowników Androida.

Kamil Sadkowski, analityk zagrożeń z ESET:

Wykrywamy obie aplikacje jako zagrożenie Android/Spy.Banker.QL i uniemożliwiamy jego instalację. Jak pokazują nasze dane, ponad 96% wykrytych przypadków pochodzi z Polski (pozostałe 4% mają swoje źródło w Austrii.

Aplikacje te po zainstalowaniu skanowały telefon w poszukiwaniu aplikacji 14 polskich banków:

  1. Alior Mobile
  2. BZWBK24 mobile
  3. Getin Mobile
  4. IKO
  5. Moje ING mobile
  6. Bank Millennium
  7. mBank PL
  8. BusinessPro
  9. Nest Bank
  10. Bank Pekao
  11. PekaoBiznes24
  12. plusbank24
  13. Mobile Bank
  14. Citi Handlowy

Po ich wykryciu, złośliwe aplikacje zaczęły imitować działanie aplikacji bankowych w postaci powiadomień lub ekranów logowania do aplikacji bankowej.

Jeśli korzystasz z zainfekowanych aplikacji, musisz natychmiast ją usunąć. Zła wiadomość jest taka, że jeśli ją zainstalowałeś, a masz na swoim urządzeniu jedną z czternastu wybranych aplikacji bankowych, oszuści mogli nie tylko dostać się do Twojego rachunku bankowego, ale też wyprowadzić z niego Twoje pieniądze.

W takim przypadku zalecane jest sprawdzenie rachunku bankowego z ostatniego miesiąca. Takie historie pokazują, że nawet instalując aplikacje bezpośrednio z Google Play nie można być pewnym, że nie są zainfekowane złośliwym kodem. Trzeba je sprawdzać pod każdym kątem, a najlepiej patrząc w jej oceny i opinie oraz później na uprawnienia, jakie wymagają podczas instalacji.

  • AndroidDeveloper

    Android – super platforma zeby sobie dorobic po godzinach 😂

    • zakius

      każda platforma, na której użytkownik nie musi rozumieć co czyta się sprawdzi

    • iOSDeveloper

      Pokaż code snippet jak na iOS przechwytywać wiadomości SMS, ekspercie od wszystkiego.

    • zakius

      ograniczenia platformy uniemożliwiające komfortowe jej używanie nie są rozwiązaniem
      na androidzie i tak nie przechwycisz smsa jeśli użytkownik nie wyrazi na to zgody, więc co za różnica? a no taka, że możesz sobie apkę sms zmienić, możesz zaufanej apce pozwolić czytać kody, ale jak instalujesz coś do obserwowania kursów walut to nie dajesz temu uprawnień poza dostępem do sieci, bo i po co?
      jak użytkownik nie myśli to i na iosie wpisze dane logowania gdzie nie trzeba, wliczając kod sms

    • iOSDeveloper

      blablabla. Czyli na iOS się nie da.

      To może chociaż pokaż code snippet jak pobrać listę zainstalowanych aplikacji?

      Ekspercie? TY WIESZ WSZYSTKO! CZEKAMY!

    • zakius

      jak lubisz być zamknięty w złotej klatce to twoja sprawa, ale te apki nie wykorzystują dziur, tylko API dostępne z całkowicie racjonalnych powodów, do których dostęp użytkownik nadał im samodzielnie, z własnej, w żaden sposób nieprzymuszonej woli
      i tej klasy zagrożenia nie są niczym niezwykłym na żadnej platformie
      niemal każdą zaawansowaną funkcję systemu można wykorzystać przeciwko użytkownikowi

    • debil detected

      masz tu przyglupie podatnosc z sierpnia 2017 :
      „After exploitation, the phone stays permanently in a compromised mode were an attacker can send a sms without the activated setting in the code lock module.”
      niby załatana, co z tego skoro co chwile pojawiaja sie inne dziury, tylko ze ty po angielsku ani be ani me (:

    • maxprzemo

      Sorry ale w tym momencie to ty się ośmieszyłeś. Zacytowałeś tekst bez podania linku do źródła. Równie dobrze mogłeś nie napisać nic.

  • gom1

    https://niebezpiecznik.pl/post/6-rad-jak-bezpiecznie-wykonywac-przelewy/

    4. Do odbierania bankowych SMS-ów wyznacz dedykowany telefon. Nie smartphone — telefon. Stara nokia sprawdzi się idealnie — im “głupszy” (starszy) telefon, tym lepiej, bo ciężej go zainfekować.

  • maxprzemo

    Jeśli ktoś nie odróżnia strony nelis.at/mbbik od https://m.mbank.pl to nie powinien w ogóle korzystać z bankowości elektronicznej. I to w ogóle! Nie ważne czy na komputerze czy na telefonie. Nazwa domeny się nie zgadza! Nie ma protokołu https! Jeśli ktoś takich rzeczy nie sprawdza to powinien używać tylko przelewów na poczcie.
    I aplikacja nie przejmuje sms’ow. Trzeba jaj na to dać uprawnienia.

    • Czasem przeszkadza w tym rutyna czy roztargnienie. Bywa, że łapię się na tym, że sprawdzam kłódkę dopiero po kliknięciu zaloguj, no ale jestem pewien, że wchodzę na dobrą stronę banku:)

    • maxprzemo

      I na to liczą przestępcy. Phishing to metoda ataku stara jak internet a sprawdza się do dzisiaj ;)

    • railleur

      „Czasem przeszkadza w tym rutyna czy roztargnienie”

      Owszem, można czasami popłynąć. Znajomy opowiadał jak szukał mieszkania do wynajęcia. Na najbardziej znanym portalu znalazł kuszącą ofertę najmu lokalu i zaczął korespondencję. Wymienili chyba po 2 maile i „wynajmujący” poprosił o więcej danych personalnych o które zazwyczaj się prosi, ale po podpisaniu umowy. Następnie uzgodnili czynsz + miesiąc gwarancji i wynajmujący poprosił o wysłanie tej kwoty Pay Pal’em, bo ma mało czasu i tylko dostarczy klucz i podpiszą umowę, a w razie gdy mieszkanie się nie spodoba, to odeśle pieniądze. Nagle zaświeciło mu się czerwone światełko i na zdjęcie mieszkania-oferty kliknął „szukaj w Google” i znalazł masę linków do ofert tego oszusta i na jakimś forum opis jego działalności.

  • Finn

    Całe to analizowaniu aplikacji przez Google pod kontem malware to pic na wodę.

    • Luigi32

      Pod kontem to na pewno. Tylko jakim kontem? Bankowym czy Google? Chyba, że zaczną analizować pod kątem, to wtedy co innego.

    • ralfbutton

      To taki „atak” słownikowy ;)

    • Finn

      Poprawione, dzięki.

  • railleur

    Gdzie te aplikacje w Google Play? Ani w sieci ich nie ma? Czyżby jak to mówił @doogopis widział je tylko Stivi Wonder?

    • doogopis

      Skasowali pewnie. Zresztą co sie dziwić że ktoś takowe apki robi. Trza na max uważać i tyle.
      Ostatnio jeden bolek pisał że 200apek ma i jakoś nie miał żadnych świerzbów! Jak sie pobiera ruskie apki których nikt nie widział na sprzęt z aplikacjami bankowymi to nic dziwnego.