Dwie "patriotyczne" aplikacje Flaga Polski atakują Klientów bankowości mobilnych

Dwie "patriotyczne" aplikacje Flaga Polski atakują Klientów bankowości mobilnych

Do Sklepu Google Play cyberprzestępcy dodali dwie złośliwe aplikacje, o takiej samej nazwie - Flaga Polski.

Schemat ich działania jest prosty i jak udowadniają kolejne ataki - zapewne skuteczny. W pierwszym etapie ataku użytkownik pobiera aplikację na swoje urządzenie z systemem Android. Po pobraniu i zainstalowaniu jej na swoim urządzeniu, pobiera ona inną aplikację i żąda jej instalacji.

Taki schemat ataku opisywaliśmy już wcześniej na naszym blogu, przeczytaj artykuł.

W aktualnie opisywanym ataku obie złośliwe aplikacje Flaga Polski były dostępne w Sklepie Google Play, jednak zostały już z niego usunięte. Przedstawione zrzuty ekranów aplikacji dostępnych w Sklepie Google Play pochodzą z pamięci podręcznej Google. Zdjęcia przedstawiają stan strony z dnia 14 kwietnia 2018 roku.

Pierwsza z opisywanych aplikacji miała ponad 1 000 pobrań i została oceniona jedynie na 2,7 gwiazdki. Ostatnia aktualizacja wskazuje na datę 11 marzec 2018, a więc z pewnością była dostępna w Sklepie Play przez ponad miesiąc.

Zobacz, jak wyglądała aplikacja do pobrania w Sklepie Play.

FlagaPolski1-1

Druga aplikacja, o tej samej nazwie - Flaga Polski również znajdowała się w Sklepie Play. Jak widzimy na poniższych zrzutach ekranu, niewiele różniła się od poprzedniej. Taka sama nazwa, to samo logo, a nawet zdjęcia telefonów (w przypadku drugiej aplikacji pojawiło się dodatkowo trzecie zdjęcie telefonu). Jednak ta aplikacja zdobyła nieco lepszą ocenę użytkowników - 3,5 gwiazdki. W tym przypadku lepsza ocena wpłynęła na większą ilość pobrań. Jak możemy zauważyć, ponad 5 tys. Klientów Sklepu Play pobrało tą złośliwą aplikację.

FlagaPolski2

Obie aplikacje Flaga Polski miały ten sam opis w Sklepie Google Play. Cyberprzestępcy w opisie aplikacji zapewniają, że jest ona stworzona specjalnie dla patriotów oraz idealna na obchody święta narodowego!

opis_w_sklepie_play

Obie aplikacje Flaga Polski, po pobraniu na telefon mają takie samo logo. Zobacz, jak wyglądają aplikacje przez zainstalowaniem.

niezainstalowane_aplikacje

Złośliwa aplikacja Flaga Polski podczas instalacji żąda następujących uprawnień:

  • modyfikowanie i usuwanie zawartości pamięci USB
  • odczytywanie zawartości pamięci USB
  • odczytywanie stanu i informacji o telefonie

Po zainstalowaniu złośliwej aplikacji żąda ona uprawnień administratora, co zezwoli jej na wykonywanie następujących operacji:

  • Blokowanie ekranu
    Kontrolowanie sposobu i warunków blokowania ekranu

FlagaPolski2_telefon

Druga z aplikacji podczas instalacji żąda dokładnie tych samych uprawnień. Po instalacji również prosi o aktywowanie administratora urządzenia. Wyświetlane komunikaty są identyczne, jak w przypadku pierwszej aplikacji. Przestępcy jedynie w komunikacie aktywacji administratora dodali jedną linijkę:
"Control device wake locks".

FlagaPolski1_telefon

Po zainstalowaniu obu aplikacji są one widoczne jako administratorzy urządzenia.

adiminstratorzy_aplikacje

Sprawdź, jakie aplikacje są administratorami Twojego urządzenia mobilnego w PREBYTES SIRT Security Tips.

Obie aplikacje działają dokładnie w ten sam sposób. Mają służyć do zmiany tapety na urządzeniu mobilnym.

Po uruchomieniu aplikacji, widzimy przycisk "Ustawić tło". Po kliknięciu, pojawia się panel, w którym możemy wybrać interesującą nas tapetę.

dzialanie_aplikacji

Do wyboru mamy kilka tapet, co widzimy na poniższych zdjęciach.

wybor_tapety

Po wybraniu interesującej nas tapety i kliknięciu "Ustaw tapetę" pojawia się ona jako tło ekranu.

ustawiona_tapeta

Jednak celem obu aplikacji Flaga Polska nie jest dostarczenie Ci tapet przedstawiających polskie miasta, czy budynki. Ich celem jest pobranie innej złośliwej aplikacji, która będzie atakowała użytkowników, którzy korzystają z bankowych aplikacji mobilnych.

Docelowo pobierane są aplikacje zawierające złośliwe oprogramowanie BankBot Anubis. Podczas uruchamiania oryginalnych aplikacji bankowych złośliwe oprogramowanie wyświetla fałszywe nakładki. Cyberprzestępcy przy ich użyciu przechwytują login i hasło do bankowości swojej ofiary.

Celem przestępców są Klienci zarówno polskich, jak i zagranicznych bankowości.

Zobacz, jak wyglądają przykładowe nakładki wyświetlane przez złośliwe oprogramowanie.

nakladki

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.

Bądź z nami na bieżąco