Ostatnie miesiące to trudny czas dla użytkowników Androidów. Przestępcy nieustannie wymyślają nowe schematy ataków oraz tworzą wciąż nowe złośliwe aplikacje na telefony. Wszystko po to, aby wykradać dane uwierzytelniające do bankowości, czy karty płatnicze.

Klienci bankowi coraz częściej i chętniej wybierają korzystanie z bankowości mobilnej. Jest to nie tylko łatwiejsze, ale i znacznie wygodniejsze. Dostęp do swojego rachunku można mieć w każdym miejscu i o każdej porze, wystarczy tylko zalogować się z użyciem telefonu. Ten trend zauważyli cyberprzestępcy i w ostatnich miesiącach wzmożyli ataki na użytkowników Androidów.

Ataki z wykorzystaniem złośliwych aplikacji opisywaliśmy na naszym blogu. Przeczytajcie artykuły o aplikacjach InPost oraz Best Cleaner. Jak obserwujemy, schematy tych ataków i zagrożenie infekcji telefonu są wciąż aktualne:
Złośliwa aplikacja InPost w fałszywym sklepie Google Play
Best Cleaner - niebezpieczna aplikacja ze sklepu Google Play

Złośliwe aplikacje na system Android są instalowane nie tylko z niezaufanych źródeł. Zdarza się, że w sklepie Google Play też można znaleźć złośliwe oprogramowanie. Takim przykładem jest aplikacja o nazwie FitnessTrainer - Twoja droga do dobrego ciała.

Aplikacja FitnessTrainer jest reklamowana przez GoogleAds w innych aplikacjach. Jeśli reklama trafi w zainteresowanie użytkownika i kliknie w nią, to zostanie przeniesiony do sklepu Google Play, skąd może zainstalować aplikację treningową. Ma ona na celu pomagać w ćwiczeniach oraz odpowiedniej diecie.

FitnessTrainer ma w sklepie Google Play ponad 10 tysięcy pobrań. Może to świadczyć, że "zaufało jej" wielu użytkowników. Aplikacja ma jednak bardzo niską ocenę. Średnia wynosi jedynie 2.0, co może wzbudzać wątpliwości co do jej użyteczności i jakości.

Czytając komentarze użytkowników powinno nam się już zapalić światło ostrzegawcze. Praktycznie każda opinia mówi, że jest to złośliwa aplikacja. Wiele osób pisze o tym jak zostali za jej pomocą okradzeni ze środków pieniężnych zgromadzonych na koncie bankowym. Jeśli mimo wszystko zdecydujemy się na instalację możemy narazić się na to samo.

Po instalacji aplikacji FitnessTrainer ukazuje się okno, gdzie możemy wybrać m.in. rodzaje ćwiczeń. Do dyspozycji mamy gotowe plany wraz z rozpisaną dietą na poszczególne posiłki dla uzyskania lepszego efektu. Na pierwszy rzut oka aplikacja posiada oczekiwaną funkcjonalność.

W trakcie działania możemy otrzymać jednak komunikat informujący o potrzebie przyznania dodatkowych uprawnień dla aplikacji. Mowa tu o zezwoleniu na sterowanie telefonem. Uprawnienie to pozwala na czytanie całej zawartości ekranu i wyświetlanie ponad innymi aplikacjami. Ponadto pozwala na śledzenie i wchodzenie w interakcję z aplikacjami w imieniu użytkownika. Należy zachować szczególną ostrożność przy przydzielaniu dodatkowych uprawnień dla aplikacji i zawsze zastanowić się, czy jest to niezbędne do jej działania.

Po przyznaniu uprawnienia z serwera kontrolowanego przez przestępców pobierana jest docelowa złośliwa aplikacja o tej samej nazwie FitnessTrainer. Instalacja oraz uruchomienie aplikacji przebiega w sposób automatyczny bez potrzeby interakcji ze strony użytkownika. Następnie należy tylko przyznać dodatkowe uprawnienie dla nowo pobranej aplikacji, która to jest złośliwym oprogramowaniem Cerberus.

Aplikacja FitnessTrainer będzie działała w tle i aktywuje atak w momencie, gdy na zainfekowanym telefonie uruchomimy oryginalną aplikację bankową. W tym momencie malware Cerberus wyświetli nakładkę na oryginalnej aplikacji, która będzie imitowała oryginalny panel logowania do bankowości. Jednak po wpisaniu tam danych logowania, zostaną one natychmiast przesłane do cyberprzestępców, którzy będą mogli zalogować się do naszego konta.

Ponieważ aplikacja FitnessTrainer jest w stanie w trakcie działania przyznawać sobie szereg uprawnień, to może przechwytywać wiadomości SMS z banku z kodami autoryzacyjnymi. Cyberprzestępcy mogą zatem zlecać przelewy z naszego konta, dodawać zaufanych odbiorców, zrywać lokaty, czy wykonywać jeszcze inne operacje, które docelowo pozbawią nas środków zgromadzonych na koncie.

Podczas analizy ujawniliśmy również dwie inne aplikacje w sklepie Google Play o nazwie 2FA Authenticator oraz Fitness Lifestyle, które zostały wydane przez tego samego dewelopera. Nasze analizy potwierdziły, że te aplikacje również są złośliwe i są wykorzystywane do ataków na użytkowników bankowości w Hiszpanii.
Ujawniliśmy łącznie ponad 60 różnych aplikacji zawierających malware Cerberus, które pobierane są tylko przez aplikację FitnessTrainer. Podjęliśmy również działania mające na usunięciu złośliwych aplikacji z Google Play.

PODSUMOWANIE

Jak się okazuje schemat ataku jest niemal identyczny, jak w przypadku opisywanej przez nas w ostatnim czasie aplikacji Best Cleaner. Zaraz po pobraniu aplikacji FitnessTrainer ze sklepu Google Play pobierana jest kolejna aplikacja, która zawiera malware Cerberus. Aktualnie jest to najpopularniejszy rodzaj złośliwego oprogramowania na system Andriod.

Nawet zaufane źródła jak sklep Google Play mogą zawierać złośliwe aplikacje. Dlatego najważniejsze jest, aby być świadomym, jaką aplikację instalujemy na swoim urządzeniu, jakich uprawnień żąda i czy rzeczywiście są jej konieczne do poprawnego działania. Jeśli aplikacja po uruchomieniu dodatkowo wymaga instalacji innej aplikacji, z niezaufanych źródeł - bardzo prawdopodobne, że jest ona złośliwa. W żadnym wypadku nie należy włączać tej opcji oraz zezwalać innym aplikacjom na takie działania.