W Sklepie Google Play znaleźliśmy złośliwą aplikację o nazwie Flaga Polski. W maju 2018 w Sklepie Play znajdowały się dwie podobne aplikacje o tej samej nazwie. Opisywaliśmy to na naszym blogu, przeczytaj nasz artykuł.

Schemat ataku jest analogiczny, jak aplikacji opisywanych przez nas w maju. W pierwszym etapie ataku użytkownik pobiera ze Sklepu Play aplikację na swoje urządzenie z systemem Android. Po pobraniu i zainstalowaniu, aplikacja Flaga Polski docelowo pobiera aplikację zawierającą złośliwe oprogramowanie BankBot Anubis i żąda jej instalacji. W tym przypadku jest to aplikacja o nazwie FlagPoland. Podczas uruchamiania oryginalnych aplikacji bankowych złośliwe oprogramowanie wyświetla fałszywe nakładki. Cyberprzestępcy przy ich użyciu przechwytują login i hasło do bankowości swojej ofiary.

Aplikacja Flaga Polski

Aplikacja Flaga Polski jest dostępna w Sklepie Google Play. W wynikach wyszukiwania znajduje się na pierwszym miejscu i jak widzimy na poniższym zdjęciu jest ona promowana. W ten sposób przestępcy zwiększają szansę, że użytkownik wybierze właśnie tą aplikację, a następnie zainstaluje ją na swoim telefonie.

Aplikacja Flaga Polski w Sklepie Google Play.
1_2_FlagaPolski

Jeśli jakaś aplikacja wzbudza Twoje wątpliwości, poinformuj nas o tym za pośrednictwem strony https://zglosincydent.pl

Jak możemy przeczytać w opisie aplikacji, oferuje ona bezpłatną kolekcję tapet na telefon autorstwa znanych fotografów. Tapety są animowane i tworzą efekt dynamicznej fali po dotknięciu ekranu.

2_SklepPlay_komputer

Aktualnie aplikacja ma ponad tysiąc pobrań i została oceniona na 3,1 gwiazdki. W Sklepie Play możemy sprawdzić opinie na jej temat.
Przed instalacją aplikacji zawsze warto przeczytać opinie innych użytkowników na temat danej aplikacji. W tym przypadku znajdziemy opinie zarówno pozytywne, jak i negatywne. Warto pamiętać, że pozytywne opinie mogą być wystawione przez samych przestępców z fałszywych kont.

3_SklepPlay_komputer_opinie-1

Aplikacja Flaga Polski po zainstalowaniu:
4_1_FlagaPolski

Po wejściu w Ustawienia aplikacji Flaga Polski wyświetla się błąd.

8_2_FlagaPolski_blad-1

Aplikacja FlagPoland

Szkodliwe działanie aplikacji Flaga Polski polega na pobraniu docelowego złośliwego oprogramowania z serwera przestępców - aplikacji FlagPoland. Następnie wyświetla się żądanie instalacji tej aplikacji. Zignorowanie tego żądania na niewiele się zda. Komunikat będzie wyświetlany nieustannie, aż do momentu, kiedy zmęczony nim użytkownik w końcu zaakceptuje żądanie. Pobrana aplikacja FlagPoland podczas instalacji nie wymagała żadnych uprawnień.

5_2_FlagaPolski_instalacja

Dopiero po instalacji aplikacja FlagPoland żąda włączenia dostępu dla "Update Flaga Polski", co pozwoli jej na:

  • Obserwowanie Twoich działań
    Otrzymywanie powiadomień podczas Twojej pracy z aplikacją.
  • Pobieranie zawartości okna
    Sprawdzanie zawartości okna, z którego korzystasz.

6_2_FlagaPolski_dostep

Aplikacja FlagPoland w trakcie działania żąda dodatkowych uprawnień. Użytkownikowi wyświetlane są okienka, w których należy zatwierdzić poszczególne żądania.

Kilka przykładowych uprawnień, których wymaga aplikacja FlagPoland po zainstalowaniu:

  • dostęp do kontaktów
  • dostęp do informacji o lokalizacji urządzenia
  • nawiązywanie połączeń telefonicznych i zarządzanie nimi
  • nagrywanie dźwięku
  • dostęp do zdjęć, multimediów i plików na urządzeniu
  • wysyłanie i wyświetlanie SMS-ów

7_3_zadania

Złośliwa aplikacja FlagPoland działa w tle i uruchamia się dopiero w momencie otwarcia oryginalnej aplikacji Twojego banku. Wyświetla wówczas fałszywe nakładki, które pobiera z serwera przestępców. Poniżej zamieszczone zostały zrzuty ekranu przykładowych nakładek, jakie wyświetla złośliwa aplikacja.

Użytkownik proszony jest o wpisanie danych autoryzacyjnych do bankowości, które natychmiast trafiają w ręce cyberprzestępców. Celem przestępców są Klienci zarówno polskich, jak i zagranicznych bankowości.

9_3_nakladki

Podsumowanie

Schemat ataku, który opisaliśmy jest złożony. Cyberprzestępcy, aby wyłudzić od Ciebie dane logowania do bankowości stworzyli aż dwie aplikacje. Aby atak był skuteczny, po instalacji aplikacji Flaga Polski ze Sklepu Google Play musisz także zainstalować drugą aplikację - FlagPoland. Dopiero wtedy na Twoim urządzeniu instalowane jest docelowe złośliwe oprogramowanie BankBot Anubis, a przestępcy uzyskują dostęp do Twoich poufnych danych.