Android

Popularna aplikacja w Google Play okazała się być trojanem - uważajcie!

JS
Jakub Szczęsny
78

Aplikacja służąca do nagrywania rozmów w systemie Android okazała się być złośliwym trojanem bankowym. W momencie, gdy odkryto jej mechanizm działania, sklep Google Play wskazywał na ponad 10 000 pobrań, natomiast zainfekowanych urządzeń może być znacznie więcej. Jeżeli macie ten program u siebie... macie dosyć spory problem.

QRecorder nie dość, że został pobrany niemałą ilość razy, to w dodatku był promowany przez dewelopera, który wprowadził go do repozytorium. Podstawowym celem tego zagrożenia są konta bankowe, do których użytkownicy uzyskują dostęp poprzez aplikacje klienckie: QRecorder oczywiście pozwala na nagrywanie rozmów, ale jego motywem jest przejmowanie wiadomości SMS z kodami jednorazowymi lub tymi, które dotyczą np. dwuskładnikowego uwierzytelniania. Następnie, identyfikując aplikację bankową, loguje się do niej za pomocą przechwyconych danych i próbuje dokonać przelewu na konto cyberprzestępców.

Istotną częścią działania QRecordera jest wykradanie danych użytkowników poprzez akcje phishingowe - zmuszając użytkownika do wprowadzenia danych np. wskazujących na konto bankowe. Dotychczasowe informacje wskazują na fakt, iż QRecorder został przygotowany pod kątem ataków na czeskie konta w: Raiffeisen Bank, ČSOB oraz Česká Spořitelna. Niewykluczone natomiast, że możliwości QRecordera obejmują także banki w innych krajach, w tym także w Polsce. Tym bardziej, że eksperci wykazali iż możliwe są także przejęcia kont w Air Bank, Equa, ING, Bawag, Fio, Oberbank i Bank Austria.

W toku analiz, m. in. ekspertów z ESET, QRecorder korzysta z nowego wariantu zagrożenia BankBot (Anubis I), trojana bankowego, który nie został szeroko rozprzestrzeniony.

Ofiar może być więcej - dotychczas zweryfikowano jedynie dwie

Oficjalnie udało się ustalić dwa udane ataki na użytkowników - dwóch użytkowników systemu Android z Czech straciło razem ok. 11 000 euro. Niewykluczone natomiast, że atakujący w przypadku innych osób zdecydowali się przelać na swoje konta znacznie mniejsze, trudniejsze do zauważenia sumy, aby ukryć swoje działania.

Jak doszło jednak do tego, że ponownie niebezpieczna aplikacja ominęła zabezpieczenia sklepu Google Play? Okazuje się, że QRecorder wcześniej pojawiał się w bezpiecznych, pozbawionych złośliwych mechanizmów wersjach, natomiast te zostały dodane w ostatniej aktualizacji. Google już zareagowało na ten incydent i usunęło propozycję z repozytorium. Natomiast użytkownicy powinni jak najprędzej zrewidować swoje telefony komórkowe i sprawdzić, czy czasami nie znajduje się ona na ich urządzeniach.

Po raz kolejny apelujemy o to, by być uważnym w trakcie instalacji jakichkolwiek aplikacji, nawet tych pochodzących ze sklepu Google Play. Jednak przed tymi, które dopiero w którejś z kolei aktualizacji otrzymują złośliwe mechanizmy trudno jest się bronić - do pewnego czasu wszystko jest bowiem w porządku. Google musi wzmocnić własne procedury dotyczące sprawdzania programów lądujących w jego repozytorium - to cały czas istotny i często podnoszony problem.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy:

hotmobile