16

Nowy, wielopoziomowy atak na usługi bankowe. Android nie ma spokoju

Użytkownicy austriackiego banku Bank Austria (członek grupy UniCredit) muszą niezwykle uważać. Eksperci alarmują o świetnie przygotowanej akcji wymierzonej głównie w użytkowników systemu Android. Od innych ataków mających za cel usługi bankowe odróżnia go jednak wielopoziomowość całego procederu - cyberprzestępcy niezwykle wyrafinowanie próbują ukryć swoje prawdziwe zamiary.

Hakerzy wykorzystują dobrze już znane zagrożenie Marcher, które znane jest już od roku 2013. Ze względu na swoją uniwersalność, w dalszym ciągu jest wykorzystywane przez różnych cyberprzestępców. W najnowszej odsłonie, hakerzy wykorzystują po pierwsze phishing – do użytkowników wysyłane są spreparowane wiadomości e-mail, za pomocą których rozsyłane są złośliwe linki ukryte za bit.ly, które prowadzą do witryn udających jedynie oficjalne strony Bank Austria. Wszyscy ci, którzy klikną w nie, zostaną poproszeni o podanie swoich danych – adresu e-mail oraz numeru telefonu. Jak widać – nikt nie prosi o numer klienta, ani o hasło, co może wzbudzić zaufanie użytkowników.

Po tym dopiero zaczyna się właściwy atak – z użyciem socjotechniki

Mając takie dane, cyberprzestępcy mogą rozsyłać wprowadzające w błąd użytkowników komunikaty. Wykorzystując pozyskane dane kontaktowe, mogą oni utrzymywać „relacje” z potencjalnymi ofiarami. Wiadomo o tym, iż hakerzy rozsyłali wiadomości, które mówią o konieczności pobrania dodatkowej aplikacji, która ma na celu zapewnienie większego poziomu bezpieczeństwa – Bank Austria Security App. Ponadto, komunikat zawiera informacje o tym, iż w związku z walką UE z praniem brudnych pieniędzy, instalacja owego oprogramowania jest obowiązkowa dla każdego posiadacza rachunku w tym banku – jeżeli tego nie zrobi, jego konto zostanie zablokowane. Oferowany jest kolejny ukryty za bit.ly link, który prowadzi bezpośrednio do aplikacji.

Android Marcher

Po pobraniu programu i jego zainstalowaniu, użytkownik jest proszony o przyznanie mu specjalnych uprawnień. Wymaganie m. in. możliwości nadpisywania oraz odczytywania pamięci wewnętrznej, kontrolowania wiadomości SMS, czy położenia telefonu powinny zaalarmować użytkowników i skłonić ich do przemyślenia sprawy. W pewnych przypadkach tak się jednak nie dzieje i infekcja postępuje dalej – wykradane są m. in. dane o kartach kredytowych. Jak to się dzieje? Wystarczy, że użytkownik przejdzie do sklepu Google Play – pracujący w tle Marcher zapyta użytkownika raz jeszcze o dane jego środka płatniczego – tak, jakby robiła to aplikacja Google. Mało tego, cyberprzestępcy korzystają z brandingu banku celem utrzymania użytkownika w świadomości, iż nie robi niczego niebezpiecznego.

Jak się okazuje, całkiem sporo użytkowników wpadło w tę pułapkę. Już teraz donosi się o tym, że około 20 000 osób pobrało i zainstalowało Marchera w związku z działaniami socjotechnicznymi cyberprzestępców. Jak widać – wcale nie trzeba wykorzystywać podatności Androida, aby skutecznie wykradać dane. Mimo wszystko, imponuje również wyrafinowanie cyberprzestępców, którzy świetnie przygotowali swój atak.