Dwie "patriotyczne" aplikacje Flaga Polski atakują Klientów bankowości mobilnych

Do Sklepu Google Play cyberprzestępcy dodali dwie złośliwe aplikacje, o takiej samej nazwie - Flaga Polski.

Schemat ich działania jest prosty i jak udowadniają kolejne ataki - zapewne skuteczny. W pierwszym etapie ataku użytkownik pobiera aplikację na swoje urządzenie z systemem Android. Po pobraniu i zainstalowaniu jej na swoim urządzeniu, pobiera ona inną aplikację i żąda jej instalacji.

Taki schemat ataku opisywaliśmy już wcześniej na naszym blogu, przeczytaj artykuł.

W aktualnie opisywanym ataku obie złośliwe aplikacje Flaga Polski były dostępne w Sklepie Google Play, jednak zostały już z niego usunięte. Przedstawione zrzuty ekranów aplikacji dostępnych w Sklepie Google Play pochodzą z pamięci podręcznej Google. Zdjęcia przedstawiają stan strony z dnia 14 kwietnia 2018 roku.

Pierwsza z opisywanych aplikacji miała ponad 1 000 pobrań i została oceniona jedynie na 2,7 gwiazdki. Ostatnia aktualizacja wskazuje na datę 11 marzec 2018, a więc z pewnością była dostępna w Sklepie Play przez ponad miesiąc.

Zobacz, jak wyglądała aplikacja do pobrania w Sklepie Play.

Druga aplikacja, o tej samej nazwie - Flaga Polski również znajdowała się w Sklepie Play. Jak widzimy na poniższych zrzutach ekranu, niewiele różniła się od poprzedniej. Taka sama nazwa, to samo logo, a nawet zdjęcia telefonów (w przypadku drugiej aplikacji pojawiło się dodatkowo trzecie zdjęcie telefonu). Jednak ta aplikacja zdobyła nieco lepszą ocenę użytkowników - 3,5 gwiazdki. W tym przypadku lepsza ocena wpłynęła na większą ilość pobrań. Jak możemy zauważyć, ponad 5 tys. Klientów Sklepu Play pobrało tą złośliwą aplikację.

Obie aplikacje Flaga Polski miały ten sam opis w Sklepie Google Play. Cyberprzestępcy w opisie aplikacji zapewniają, że jest ona stworzona specjalnie dla patriotów oraz idealna na obchody święta narodowego!

Obie aplikacje Flaga Polski, po pobraniu na telefon mają takie samo logo. Zobacz, jak wyglądają aplikacje przez zainstalowaniem.

Złośliwa aplikacja Flaga Polski podczas instalacji żąda następujących uprawnień:

• modyfikowanie i usuwanie zawartości pamięci USB
• odczytywanie zawartości pamięci USB
• odczytywanie stanu i informacji o telefonie

Po zainstalowaniu złośliwej aplikacji żąda ona uprawnień administratora, co zezwoli jej na wykonywanie następujących operacji:

• Blokowanie ekranu
  Kontrolowanie sposobu i warunków blokowania ekranu

Druga z aplikacji podczas instalacji żąda dokładnie tych samych uprawnień. Po instalacji również prosi o aktywowanie administratora urządzenia. Wyświetlane komunikaty są identyczne, jak w przypadku pierwszej aplikacji. Przestępcy jedynie w komunikacie aktywacji administratora dodali jedną linijkę:
"Control device wake locks".

Po zainstalowaniu obu aplikacji są one widoczne jako administratorzy urządzenia.

Sprawdź, jakie aplikacje są administratorami Twojego urządzenia mobilnego w PREBYTES SIRT Security Tips.

Obie aplikacje działają dokładnie w ten sam sposób. Mają służyć do zmiany tapety na urządzeniu mobilnym.

Po uruchomieniu aplikacji, widzimy przycisk "Ustawić tło". Po kliknięciu, pojawia się panel, w którym możemy wybrać interesującą nas tapetę.

Do wyboru mamy kilka tapet, co widzimy na poniższych zdjęciach.

Po wybraniu interesującej nas tapety i kliknięciu "Ustaw tapetę" pojawia się ona jako tło ekranu.

Jednak celem obu aplikacji Flaga Polska nie jest dostarczenie Ci tapet przedstawiających polskie miasta, czy budynki. Ich celem jest pobranie innej złośliwej aplikacji, która będzie atakowała użytkowników, którzy korzystają z bankowych aplikacji mobilnych.

Docelowo pobierane są aplikacje zawierające złośliwe oprogramowanie BankBot Anubis. Podczas uruchamiania oryginalnych aplikacji bankowych złośliwe oprogramowanie wyświetla fałszywe nakładki. Cyberprzestępcy przy ich użyciu przechwytują login i hasło do bankowości swojej ofiary.

Celem przestępców są Klienci zarówno polskich, jak i zagranicznych bankowości.

Zobacz, jak wyglądają przykładowe nakładki wyświetlane przez złośliwe oprogramowanie.