Minimálně od poloviny ledna narážíme každý týden na několik upozornění před škodlivou aplikací pro Androidy, kterou útočníci šíří pomocí SMS. Nejčastěji rozesílají zprávy vydávající se za některou z českých bank, nicméně problémům se nevyhnula ani Česká pošta, e-shop Alza a nejnovější případ se týká přepravní společnosti DHL.
Vzorec útoku je vždy stejný: uživateli dorazí SMS s textem vztahující se k danému subjektu a požadavkem na stáhnutí aplikace. Falešné zprávy od České pošty tak obsahovaly výzvu k vyzvednutí zásilky na depu, u bank útočníci nejčastěji používají variantu s důležitým sdělením, jež má být přečteno právě v odkazované aplikaci, u Alzy slibují výhru a u DHL nabízí v aplikaci změnu doručovací adresy pro dodání balíku.
Dvě aplikace, stejný malware. Jednou se vydává za aplikaci České pošty, podruhé za DHL, ve většině případů však nese název Flash Player 10 Update
Prvním poznávacím prvkem podvodné aplikace může být už adresa, z níž má být stažena. Doposud totiž útočníci vždy použili doménu .online – u Alzy to byla adresa http://alza-shop.online, u DHL je to nyní http://dhl-express.online a u pošty využívali útočníci líbivou adresu http://ceskaposta.online. I díky těmto URL se mohou zprávy pro mnohé uživatele tvářit jako legitimní.
Takto může vypadat podvodná zpráva, tahle se konkrétně vydává za Českou poštu (foto: @TerezaChlubna)
Dalším společným rysem těchto podvodných aplikací je jejich minimální velikost. Při stahování instalačního balíku APK to je vždy pod 1 MB, po instalaci se potom u všech zmíněných verzí velikost pohybovala kolem 1,4 MB. Při spuštění si aplikace samozřejmě vyžádá všechna oprávnění v systému, a pokud je uživatel odsouhlasí, umožní aplikaci nejen přístup do kontaktů, ale například i možnost číst a odesílat zprávy.
Aplikace si vyžádá kompletní systémová oprávnění díky nimž se později může dostat například k ověřovací SMS pro přihlášení do bankovnictví
Základní obranou proti tomuto typu útoku by však měla být především obezřetnost a také zdravý rozum. Pokud uživatel nečeká zásilku od České pošty či DHL nebo mu přijde zpráva z banky, u níž není klientem, je podvod nejpravděpodobnější variantou. Problémem může být například zpráva z Alzy slibující výhru při instalaci aplikace, kdy podobné způsoby promování svých aplikací by mohly některé společnosti opravdu využívat. U všech variant by však mělo platit základní pravidlo neinstalovat aplikace z cizích zdrojů a spoléhat se na integrovaný obchod Google Play.
Podvržené bankovnictví
Pokud uživatel aplikaci nainstaluje, ta běží na pozadí a čeká na svoji příležitost až bude moci naservírovat podvodný přihlašovací formulář do internetového bankovnictví. To se může stát nejen při spuštění samotné podvodné aplikace, ale i při spuštění dalších služeb. Jedna z variant malwaru Android/Spy.Banker tak zobrazovala formulář pro zadání platebních údajů při každém spuštění některého z komunikátorů – Skype, Facebook Messengeru, Hangouts, ale i u sociálních sítí jako je Instagram nebo Twitter.
Aplikace může zobrazovat také formuláře pro zadání údajů platební karty (foto: Fortinet)
U nás se však uživatelé budou setkávat především s lokalizovanou variantou upravenou pro české uživatele. V případě posledního útoku, který využívá jméno přepravce DHL jde čistě o phishing, kdy je po otevření aplikace zobrazen přihlašovací formulář do internetového bankovnictví ČSOB. V případě, že uživatel zadá svoje identifikační číslo a kód PIN, útočníci už mají jednoduchou práci. I k případné ověřovací SMS totiž mají přístup díky udělenému oprávnění číst zprávy.
Pokud uživatel spustí aplikaci, naservíruje mu přihlašovací formulář do internetového bankovnictví. K ověřovací SMS už má také přístup a v napadení účtu mu po zadání údajů nic nebrání (foto: ČSOB)
Aktuálně hrozí trojan Android/Spy.Banker především ve východní Evropě, což je vidět také na mapě společnosti Eset. K jeho rozšíření však došlo už na podzim loňského roku, kdy byl ve své původní podobě využíván pro krádeže přihlašovacích údajů do bankovnictví v Německu, Francii či Rakousku a v menší míře Polsku či Spojených státech.
Aktuálně se malwaru Android/Spy.Banker daří hlavně ve východní Evropě, nejvíc v Rusku a na Slovensku (foto: Eset)
Aktuální vlna útoků je nebezpečná především pečlivou lokalizací – ať už se týká jak doručovaných zpráv, v nichž nenajdeme chyby, tak již zmíněných domén, které se opravdu tváří jako oficiální. Pokud jste aplikaci spustili a zadali do ní údaje, neváhejte s kontaktováním zákaznické linky vaší banky. Aplikaci odinstalujte běžným způsobem v nastavení Androidu a nabídce Aplikace. Velmi často nese název Flash Player 10 Update, v některých případech však útočníci změnili i jméno na DHL nebo Česká pošta.
Přečtěte si: