Bezpieczeństwo

Nowy, wielopoziomowy atak na usługi bankowe. Android nie ma spokoju

JS
Jakub Szczęsny
16

Użytkownicy austriackiego banku Bank Austria (członek grupy UniCredit) muszą niezwykle uważać. Eksperci alarmują o świetnie przygotowanej akcji wymierzonej głównie w użytkowników systemu Android. Od innych ataków mających za cel usługi bankowe odróżnia go jednak wielopoziomowość całego procederu - cyberprzestępcy niezwykle wyrafinowanie próbują ukryć swoje prawdziwe zamiary.

Hakerzy wykorzystują dobrze już znane zagrożenie Marcher, które znane jest już od roku 2013. Ze względu na swoją uniwersalność, w dalszym ciągu jest wykorzystywane przez różnych cyberprzestępców. W najnowszej odsłonie, hakerzy wykorzystują po pierwsze phishing - do użytkowników wysyłane są spreparowane wiadomości e-mail, za pomocą których rozsyłane są złośliwe linki ukryte za bit.ly, które prowadzą do witryn udających jedynie oficjalne strony Bank Austria. Wszyscy ci, którzy klikną w nie, zostaną poproszeni o podanie swoich danych - adresu e-mail oraz numeru telefonu. Jak widać - nikt nie prosi o numer klienta, ani o hasło, co może wzbudzić zaufanie użytkowników.

Po tym dopiero zaczyna się właściwy atak - z użyciem socjotechniki

Mając takie dane, cyberprzestępcy mogą rozsyłać wprowadzające w błąd użytkowników komunikaty. Wykorzystując pozyskane dane kontaktowe, mogą oni utrzymywać "relacje" z potencjalnymi ofiarami. Wiadomo o tym, iż hakerzy rozsyłali wiadomości, które mówią o konieczności pobrania dodatkowej aplikacji, która ma na celu zapewnienie większego poziomu bezpieczeństwa - Bank Austria Security App. Ponadto, komunikat zawiera informacje o tym, iż w związku z walką UE z praniem brudnych pieniędzy, instalacja owego oprogramowania jest obowiązkowa dla każdego posiadacza rachunku w tym banku - jeżeli tego nie zrobi, jego konto zostanie zablokowane. Oferowany jest kolejny ukryty za bit.ly link, który prowadzi bezpośrednio do aplikacji.

Po pobraniu programu i jego zainstalowaniu, użytkownik jest proszony o przyznanie mu specjalnych uprawnień. Wymaganie m. in. możliwości nadpisywania oraz odczytywania pamięci wewnętrznej, kontrolowania wiadomości SMS, czy położenia telefonu powinny zaalarmować użytkowników i skłonić ich do przemyślenia sprawy. W pewnych przypadkach tak się jednak nie dzieje i infekcja postępuje dalej - wykradane są m. in. dane o kartach kredytowych. Jak to się dzieje? Wystarczy, że użytkownik przejdzie do sklepu Google Play - pracujący w tle Marcher zapyta użytkownika raz jeszcze o dane jego środka płatniczego - tak, jakby robiła to aplikacja Google. Mało tego, cyberprzestępcy korzystają z brandingu banku celem utrzymania użytkownika w świadomości, iż nie robi niczego niebezpiecznego.

Jak się okazuje, całkiem sporo użytkowników wpadło w tę pułapkę. Już teraz donosi się o tym, że około 20 000 osób pobrało i zainstalowało Marchera w związku z działaniami socjotechnicznymi cyberprzestępców. Jak widać - wcale nie trzeba wykorzystywać podatności Androida, aby skutecznie wykradać dane. Mimo wszystko, imponuje również wyrafinowanie cyberprzestępców, którzy świetnie przygotowali swój atak.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy: