Klienci serwisów zakupowych na celowniku cyberprzestępców
Złośliwe oprogramowanie BankBot Anubis atakuje nie tylko klientów bankowości mobilnych. Jego celem są również aplikacje popularnych polskich serwisów zakupowych. Przestępcy w ten sposób chcą wyłudzić dane kart płatniczych.
Na naszym blogu opisywaliśmy już sporo aplikacji zawierających złośliwe oprogramowanie. Każda z nich atakowała użytkowników bankowości mobilnych. Dla cyberprzestępców był to dosyć łatwy sposób na "zarobienie" sporej ilości pieniędzy.
W większości przypadków schemat ataku był niemal identyczny. Po uruchomieniu oryginalnej aplikacji bankowej na zainfekowanym urządzeniu wyświetlała się fałszywa nakładka. Cyberprzestępcy wykorzystywali logotypy banku, po to aby uwiarygodnić żądanie poufnych danych i przechwycić login i hasło do bankowości.
Złośliwe aplikacje zazwyczaj podczas instalacji żądały dostępu do wielu funkcjonalności w telefonie, m.in. odczytywania wiadomości tekstowych. W ten sposób przestępcy przechwytywali kody autoryzacyjne z banku.
Mając login, hasło i kody SMS do Twojej bankowości mogli zmienić podany przez Ciebie numer telefonu, zlecić przelew pieniędzy na swoje konto, zrobić zakupy na Twój koszt, czy dodać zdefiniowanego odbiorcę.
Złośliwe oprogramowanie BankBot Anubis, które wyświetlało nakładki na mobilnych aplikacjach bankowych opisywaliśmy w tym artykule.
Jak się okazuje, cyberprzestępcy atakują nie tylko klientów banków. Do definicji ataku złośliwego oprogramowania BankBot Anubis dodane zostały aplikacje popularnych serwisów zakupowych.
Wśród odnalezionych aplikacji, które są celem przestępców znalazły się:
- Rossmann
- Allegro
- Ceneo
- Empik
Zobacz, jak wyglądają nakładki wyświetlane na aplikacji Rossmann
Jak możemy zauważyć, w pierwszym etapie ataku wyświetla się czerwone okno z logiem Rossmann. Jest to animacja i zainfekowanemu użytkownikowi zaraz pokazuje się kolejny krok ataku. W celu rzekomego potwierdzenia danych płatniczych jesteśmy proszeni o wprowadzenie danych swojej katy płatniczej.
Podanie imienia i nazwiska, numeru karty oraz jej daty ważności i numeru CVV spowoduje, że dane natychmiast zostaną przechwycone przez przestępców. Będą mogli wykorzystać je do robienia zakupów w internecie, za które Ty zapłacisz.
Podobnie jest w przypadku uruchomienia aplikacji mobilnej Allegro i Ceneo
W każdym przypadku przez krótką chwilę widzimy logo atakowanej platformy, a następnie tą samą grafikę z polami do wprowadzenia danych karty płatniczej.
Nieco inaczej jest z aplikacją Empiku. Jej użytkownikom nie wyświetla się bowiem ekran, gdzie wyłudzane są dane kart płatniczych, jak ma to miejsce w poprzednich aplikacjach. W tym przypadku przestępcy chcą wyłudzić login i hasło.
