Złośliwa aplikacja "Google Play services" atakuje bankowości mobilne

Złośliwa aplikacja "Google Play services" atakuje bankowości mobilne

Rosnąca popularność bankowych aplikacji mobilnych sprawia, że ich użytkownicy są narażeni na ataki ze strony cyberprzestępców. Wyłudzanie danych autoryzacyjnych do bankowości przy pomocy złośliwego oprogramowania na urządzenia mobilne jest coraz częstszym zjawiskiem. Przestępcy najczęściej używają w tym celu fałszywych aplikacji.

Niektóre ze złośliwych aplikacji udaje się przestępcom zamieścić w Sklepie Google Play. Jeśli nie, wymyślają inne sposoby, aby nakłonić ofiarę do pobrania i zainstalowania takiej aplikacji. Jednym ze sposobów jest wysyłanie wiadomości SMS podszywając się pod znane firmy z prośbą o instalację aplikacji.

W tym artykule opisywaliśmy złośliwe alikacje, które cyberprzestępcy umieścili w Sklepie Google Play.

Tutaj natomiast możesz dowiedzić się w jaki inny sposób przestępcy nakłaniali do instalacji złośliwej aplikacji.

Google Play services

Google Play services to kolejna aplikacja, przy pomocy pomocy której przestępcy okradają klientów polskich banków. Złośliwa aplikacja podczas instalacji żąda następujących uprawnień:

  • odczytywanie kontaktów
  • modyfikowanie i usuwanie zawartości pamięci USB
  • odczytywanie zawartości pamięci USB
  • odbieranie wiadomości tekstowych (SMS)
  • odczytywanie wiadomości tekstowych (SMS i MMS)
  • wysyłać i wyświetlać SMS-y
  • modyfikowanie ustawień systemu
  • rysowanie na innych aplikacjach
  • bezpośrednie wybieranie numerów telefonów
  • odczytywanie stanu i informacji o telefonie

instalacja

Aplikacja Google Play services po zainstalowaniu posiada wiele uprawnień, może m.in. odczytywać przychodzące wiadomości SMS, czy rysować na innych aplikacjach. Przy pomocy tych funkcjonalności przestępcy wykradają dane logowania do bankowości oraz przechwytują kody autoryzacyjne z banku.

Po zainstalowaniu, złośliwa aplikacja Google Play services żąda także aktywacji funkcji administratora urządzenia, dzięki czemu będzie mogła wykonywać następujące operacje:

  • Usuwanie wszystkich danych
    Wymazywanie danych z telefonu bez ostrzeżenia przez przywrócenie danych fabrycznych
  • Zmiana blokady ekranu
    -Określ reguły hasła
    Kontrolowanie długości haseł blokady ekranu i kodów PIN oraz dozwolonych w nich znaków.
  • Blokowanie ekranu
    Kontrolowanie sposobu i warunków blokowania ekranu
  • Ustaw szyfrowanie pamięci
    Wymazywanie szyfrowania przechwytywanych danych aplikacji

administrator

Sprawdź, jakie aplikacje są administratorami Twojego urządzenia mobilnego w PREBYTES SIRT Security Tips.

Aplikacja Google Play services po zainstalowaniu jest uruchamiana i działa w tle. W tym czasie monitoruje aktywność użytkownika na urządzeniu mobilnym. Atak jest uruchamiany w momencie otwarcia na zainfekowanym urządzeniu oryginalnej aplikacji bankowej.

Użytkownikowi nie wyświetla się ekran główny, jaki widzi zazwyczaj po uruchomieniu oryginalnej aplikacji bankowej. Złośliwe oprogramowanie wyświetla fałszywą nakładkę, która wykorzystuje logotyp banku i wykrada dane logowania do bankowości.

Wpisane dane autoryzacyjne natychmiast przesyłane są do serwera przestępców. Dodatkowo, przechwytują oni SMSy z kodami autoryzacyjnymi z banku. W ten sposób mogą zalogować się na nasze konto, a następnie zlecić nieautoryzowany przelew.

Tak wyglądają przykładowe fałszywe nakładki wyświetlane na oryginalnych aplikacjach bankowych:

1
2
3
4

Fałszywa aplikacja Google Play services działa w tle. Możemy ją zobaczyć w podglądzie uruchomionych aplikacji.

dzialanie_w_tle

Na zdjęciu powyżej widzimy uruchomioną oryginalną aplikację Banku ING oraz uruchomioną aplikację Google Play services z fałszywą nakładką na bankowość.
W momencie ataku użytkownik widzi fałszywą nakładkę i jeśli wpisze login i hasło, to nie zaloguje się do bankowości. Dane zostaną natychmiast przechwycone przez przestępców.

Podsumowanie

Pobierając aplikacje na swój telefon korzystaj jedynie z zaufanych źródeł, jak Sklep Google Play. Pamiętaj, że aplikacje pochodzące z nieznanych źródeł mogą być niebezpieczne i zawierać złośliwe oprogramowanie, za pomocą którego przestępcy wykradną Twoje poufne dane i przejmą kontrolę nad Twoim telefonem.

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.

Bądź z nami na bieżąco