MALWARE

Fałszywa aplikacja "Crypto Navigator" dostępna w Sklepie Google Play

W Sklepie Google Play dostępna jest kolejna złośliwa aplikacja - Crypto Navigator. Aplikacja rzekomo ma służyć do śledzenia kursów kryptowalut. W rzeczywistości służy do wykradania danych logowania do bankowości elektronicznej lub giełdy kryptowalut.

PREBYTES Security Incident Response Team

2 min read
Fałszywa aplikacja "Crypto Navigator" dostępna w Sklepie Google Play

Wykryliśmy kolejną niebezpieczną aplikację dostępną w sklepie Google Play. Aplikacja Crypto Navigator ma rzekomo służyć do śledzenia kursów kryptowalut. W rzeczywistości, cyberprzestępcy przy jej użyciu wykradają dane logowania do bankowości elektronicznej. W ten sposób mogą zalogować się na Twoje konto i wykraść z niego pieniądze.

Zobacz, jak wygląda aplikacja do pobrania w Sklepie Google Play

sklepplay-1

Crypto Navigator została oceniona na 4,3 gwiazdki i ma już ponad 1000 pobrań. W chwili instalacji aplikacja nie żąda uprawnień administratora, czy dostępu do innych funkcjonalności w telefonie. Potrzebuje jedynie dostępu do zdjęć/multimediów/plików.

instalacja-1

Po zainstalowaniu i uruchomieniu aplikacji rzeczywiście wyświetlane są kursy kryptowalut. Zatem pozornie nic złego się nie dzieje, a aplikacja działa poprawnie.

aplikacja_kursy-1

Jednak po pobraniu Crypto Navigator na swój telefon, prawdopodobnie skanuje ona urządzenie w poszukiwaniu zainstalowanych na nim aplikacji bankowych. W przypadku, gdy wykryta zostanie jedna z 14 aplikacji bankowych zdefiniowanych jako cel ataku, pobrana może zostać docelowa złośliwa aplikacja z serwera przestępców - Google Update. Aplikacja ta nie została odnaleziona do pobrania w Sklepie Google Play.

Po pobraniu dodatkowej aplikacji następuje wymuszenie zatwierdzenia jej instalacji przez użytkownika.

instalacja_iprawnienia-1

Uprawnienia, jakich żąda aplikacja:

  • modyfikowanie i usuwanie zawartości pamięci USB
  • odczytywanie zawartości pamięci USB
  • odbieranie wiadomości tekstowych (MMS)
  • odbieranie wiadomości tekstowych (SMS)
  • odczytywanie wiadomości tekstowych (SMS i MMS)
  • wysyłać i wyświetlać SMS-y
  • bezpośrednie wybieranie numerów telefonów
  • odczytywanie stanu informacji o telefonie

Po instalacji Google Update żąda aktywacji funkcji administratora urządzenia, co zezwala jej na:

  • Usuwanie wszystkich danych
  • Określ reguły hasła
  • Ustaw szyfrowanie pamięci

W momencie uruchomienia oryginalnej aplikacji bankowej, Google Update wyświetla nakładki, które wyłudzają dane logowania do bankowości online. Fałszywe nakładki wykorzystują logotypy banku, a użytkownik w żaden sposób może nie zorientować się, że padł ofiarą cyberprzestępców. Ponadto celem złośliwej aplikacji jest także jedna z giełd kryptowalut.

Zobacz, jak wyglądają nakładki wyświetlane przez złośliwą aplikację

mbank-1

Aplikacja po udanym ataku jest w stanie przywrócić telefon do ustawień fabrycznych, zacierając tym samym ślady infekcji.

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.

Sign up for more like this.

Wpisz swój adres e-mail
Zapisz się