W ostatnim czasie cyberprzestępcy w swoich atakach postawili na złośliwe aplikacje na system Android. Linki do ich instalacji najczęściej są przesyłane w wiadomościach SMS. Jednak zdarza się, że złośliwe aplikacje znajdują się w sklepie Google Play. W tym artykule opiszemy taki atak.

Ostatnio opisywaliśmy atak z fałszywą aplikacją InPost, która pobierana była rzekomo ze sklepu Google Play. W rzeczywistości jest to tylko strona, która łudząco go przypomina. Uważajcie na takie ataki, ponieważ ciągle powstają nowe takie strony. Przeczytajcie cały artykuł, w którym dokładnie opisaliśmy schemat ataku:
ZŁOŚLIWE APLIKACJE IN POST

O wszystkich podejrzanych stronach, aplikacjach i innych zagrożeniach, na które natraficie w internecie możecie informować nas za pośrednictwem strony ZGŁOŚINCYDENT. Każde zgłoszenie jest przez nas weryfikowane i są podejmowane odpowiednie kroki w celu zablokowania zagrożenia.

W naszych artykułach zawsze ostrzegamy, żeby nie instalować aplikacji z niezaufanych źródeł. Najbezpieczniej jest pobierać aplikacje jedynie ze sprawdzonych źródeł, jak sklep Google Play dla systemu Android. Znajdujące się tam aplikacje są weryfikowane i teoretycznie nie powinny stanowić zagrożenia dla naszych urządzeń. Jednak jak zawsze, są wyjątki. Aplikacja Best Cleaner była reklamowana w sklepie Play, jako aplikacja do czyszczenia telefonu. Spora część osób szukających tego typu aplikacji zapewne ją wybrała, bo aplikacja, która ma ponad 10 tys. pobrań i w dodatku jest reklamowana nie może stanowić zagrożenia.

1-1

Aplikacja Best Cleaner miała także sporo opinii, w większości pozytywnych. Bardzo możliwe, że to sami przestępcy przy pomocy fałszywych kont dodawali pozytywne komentarze. Zapewne miało to jeszcze bardziej podnieść zaufanie użytkowników do tej aplikacji.

2-1

Aplikacja Best Cleaner została umieszczona w sklepie Play 9 kwietnia 2020. Jak wskazują statystyki, w czerwcu miała już ponad 10 tysięcy pobrań. Przestępcy co jakiś czas wypuszczali także aktualizacje tej aplikacji.

3

Po zainstalowaniu aplikacji Best Cleaner wymaga ona zgody na dostęp do zdjęć, multimediów, plików na telefonie oraz nawiązywanie połączeń telefonicznych. Bez zatwierdzenia tych żądań nie jest możliwe poprawne działanie aplikacji.

4

Po uruchomieniu aplikacji możemy już wyczyścić pamięć swojego telefonu. Jednak po zaznaczeniu opcji i kliknięciu Rozpocznij czyszczenie pojawia nam się okno z komunikatem o konieczności zainstalowania dodatkowej biblioteki. Widzimy również instrukcję, że aby to zrobić należy w ustawieniach telefonu włączyć opcję instalacji z nieznanych źródeł.

5

Po kliknięciu Uruchom instalację wtyczki pojawia się komunikat z informacją, że na telefonie nie można instalować aplikacji z nieznanych źródeł. Aby włączyć tą opcję należy przejść do ustawień systemu.

6

Włączenie opcji instalacji aplikacji z nieznanych źródeł skutkuje pobraniem z serwera kontrolowanego przez przestępców na telefon kolejnej aplikacji o nazwie Bestcleaner. Jednak nie jest to dodatkowa biblioteka, jak było sugerowane wcześniej. Jest to złośliwe oprogramowanie na system Android - malware Cerberus. Podczas instalacji, aplikacja nie wymaga specjalnych uprawnień. Dopiero po zainstalowaniu żąda dostępu do 'Bestcleaner activation'. Jeśli włączymy jej tą opcję, to aplikacja będzie mogła dodać się jako administrator urządzenia, a tym samym zarządzać swoimi uprawnieniami.

7

Aplikacja Bestcleaner będzie działała w tle i aktywuje atak w momencie, gdy na zainfekowanym telefonie uruchomimy oryginalną aplikację bankową. W tym momencie malware Cerberus wyświetli nakładkę na oryginalnej aplikacji, która będzie imitowała oryginalny panel logowania do bankowości. Jednak po wpisaniu tam danych logowania, zostaną one natychmiast przesłane do cyberprzestępców, którzy będą mogli zalogować się do naszego konta.

Ponieważ aplikacja Bestcleaner jest w stanie w trakcie działania przyznawać sobie szereg uprawnień, to może przechwytywać wiadomości SMS z banku z kodami autoryzacyjnymi. Cyberprzestępcy mogą zatem zlecać przelewy z naszego konta, dodawać zaufanych odbiorców, zrywać lokaty, czy wykonywać jeszcze inne operacje, które docelowo pozbawią nas środków zgromadzonych na koncie.

Tak wyglądają nakładki wyświetlane przez złośliwą aplikację dla Klientów MBanku.
nakladki_mbank

Tak wyglądają nakładki wyświetlane przez złośliwą aplikację dla Klientów ING.
nakladki_ing-1

Po analizie tego ataku, natychmiast podjęliśmy kroki, aby złośliwa aplikacja Best Cleaner została usunięta ze sklepu Google Play. Obecnie nie znajdziecie jej już tam. Jeśli ktoś miał ją zainstalowaną na swoim telefonie, to powinien otrzymać ostrzeżenie Play Protect. Czytamy w nim, że ta aplikacja może instalować potencjalnie szkodliwe aplikacje i zalecane jest jej odinstalowanie.
Jeśli ktoś z Was otrzymał taki komunikat i go zignorował, zalecamy odinstalować aplikację Best Cleaner. Jak widzicie nie służy ona do czyszczenia telefonu, a jedynie jest pretekstem, aby zainstalować inną złośliwą aplikację, która wykrada dane logowania do bankowości.

play_protect

Podsumowanie

Schemat ataku, który opisaliśmy jest złożony. Cyberprzestępcy, aby wyłudzić od Ciebie dane logowania do bankowości stworzyli aż dwie aplikacje. Aby atak był skuteczny, po instalacji aplikacji Best Cleaner ze sklepu Google Play musisz także zainstalować drugą aplikację - Bestcleaner. Jest to złośliwe oprogramowanie Cerberus, którego głównym zadaniem jest kradzież danych logowania do bankowości.

Jak pokazuje ten przykład, nawet zaufane źródła jak sklep Play mogą zawierać złośliwe aplikacje. Dlatego najważniejsze jest, aby być świadomym, jaką aplikację instalujemy na swoim urządzeniu, jakich uprawnień żąda i czy rzeczywiście są jej konieczne do poprawnego działania. Jeśli aplikacja po uruchomieniu dodatkowo wymaga instalacji innej aplikacji, z niezaufanych źródeł - bardzo prawdopodobne, że jest ona złośliwa. W żadnym wypadku nie należy włączać tej opcji oraz zezwalać innym aplikacjom na takie działania.