Fałszywa aplikacja "Crypto Navigator" dostępna w Sklepie Google Play
W Sklepie Google Play dostępna jest kolejna złośliwa aplikacja - Crypto Navigator. Aplikacja rzekomo ma służyć do śledzenia kursów kryptowalut. W rzeczywistości służy do wykradania danych logowania do bankowości elektronicznej lub giełdy kryptowalut.
Wykryliśmy kolejną niebezpieczną aplikację dostępną w sklepie Google Play. Aplikacja Crypto Navigator ma rzekomo służyć do śledzenia kursów kryptowalut. W rzeczywistości, cyberprzestępcy przy jej użyciu wykradają dane logowania do bankowości elektronicznej. W ten sposób mogą zalogować się na Twoje konto i wykraść z niego pieniądze.
Zobacz, jak wygląda aplikacja do pobrania w Sklepie Google Play
Crypto Navigator została oceniona na 4,3 gwiazdki i ma już ponad 1000 pobrań. W chwili instalacji aplikacja nie żąda uprawnień administratora, czy dostępu do innych funkcjonalności w telefonie. Potrzebuje jedynie dostępu do zdjęć/multimediów/plików.
Po zainstalowaniu i uruchomieniu aplikacji rzeczywiście wyświetlane są kursy kryptowalut. Zatem pozornie nic złego się nie dzieje, a aplikacja działa poprawnie.
Jednak po pobraniu Crypto Navigator na swój telefon, prawdopodobnie skanuje ona urządzenie w poszukiwaniu zainstalowanych na nim aplikacji bankowych. W przypadku, gdy wykryta zostanie jedna z 14 aplikacji bankowych zdefiniowanych jako cel ataku, pobrana może zostać docelowa złośliwa aplikacja z serwera przestępców - Google Update. Aplikacja ta nie została odnaleziona do pobrania w Sklepie Google Play.
Po pobraniu dodatkowej aplikacji następuje wymuszenie zatwierdzenia jej instalacji przez użytkownika.
Uprawnienia, jakich żąda aplikacja:
- modyfikowanie i usuwanie zawartości pamięci USB
- odczytywanie zawartości pamięci USB
- odbieranie wiadomości tekstowych (MMS)
- odbieranie wiadomości tekstowych (SMS)
- odczytywanie wiadomości tekstowych (SMS i MMS)
- wysyłać i wyświetlać SMS-y
- bezpośrednie wybieranie numerów telefonów
- odczytywanie stanu informacji o telefonie
Po instalacji Google Update żąda aktywacji funkcji administratora urządzenia, co zezwala jej na:
- Usuwanie wszystkich danych
- Określ reguły hasła
- Ustaw szyfrowanie pamięci
W momencie uruchomienia oryginalnej aplikacji bankowej, Google Update wyświetla nakładki, które wyłudzają dane logowania do bankowości online. Fałszywe nakładki wykorzystują logotypy banku, a użytkownik w żaden sposób może nie zorientować się, że padł ofiarą cyberprzestępców. Ponadto celem złośliwej aplikacji jest także jedna z giełd kryptowalut.
Zobacz, jak wyglądają nakładki wyświetlane przez złośliwą aplikację
Aplikacja po udanym ataku jest w stanie przywrócić telefon do ustawień fabrycznych, zacierając tym samym ślady infekcji.