Do Sklepu Google Play cyberprzestępcy dodali dwie złośliwe aplikacje, o takiej samej nazwie - Flaga Polski.

Schemat ich działania jest prosty i jak udowadniają kolejne ataki - zapewne skuteczny. W pierwszym etapie ataku użytkownik pobiera aplikację na swoje urządzenie z systemem Android. Po pobraniu i zainstalowaniu jej na swoim urządzeniu, pobiera ona inną aplikację i żąda jej instalacji.

Taki schemat ataku opisywaliśmy już wcześniej na naszym blogu, przeczytaj artykuł.

W aktualnie opisywanym ataku obie złośliwe aplikacje Flaga Polski były dostępne w Sklepie Google Play, jednak zostały już z niego usunięte. Przedstawione zrzuty ekranów aplikacji dostępnych w Sklepie Google Play pochodzą z pamięci podręcznej Google. Zdjęcia przedstawiają stan strony z dnia 14 kwietnia 2018 roku.

Pierwsza z opisywanych aplikacji miała ponad 1 000 pobrań i została oceniona jedynie na 2,7 gwiazdki. Ostatnia aktualizacja wskazuje na datę 11 marzec 2018, a więc z pewnością była dostępna w Sklepie Play przez ponad miesiąc.

Zobacz, jak wyglądała aplikacja do pobrania w Sklepie Play.

FlagaPolski1-1

Druga aplikacja, o tej samej nazwie - Flaga Polski również znajdowała się w Sklepie Play. Jak widzimy na poniższych zrzutach ekranu, niewiele różniła się od poprzedniej. Taka sama nazwa, to samo logo, a nawet zdjęcia telefonów (w przypadku drugiej aplikacji pojawiło się dodatkowo trzecie zdjęcie telefonu). Jednak ta aplikacja zdobyła nieco lepszą ocenę użytkowników - 3,5 gwiazdki. W tym przypadku lepsza ocena wpłynęła na większą ilość pobrań. Jak możemy zauważyć, ponad 5 tys. Klientów Sklepu Play pobrało tą złośliwą aplikację.

FlagaPolski2

Obie aplikacje Flaga Polski miały ten sam opis w Sklepie Google Play. Cyberprzestępcy w opisie aplikacji zapewniają, że jest ona stworzona specjalnie dla patriotów oraz idealna na obchody święta narodowego!

opis_w_sklepie_play

Obie aplikacje Flaga Polski, po pobraniu na telefon mają takie samo logo. Zobacz, jak wyglądają aplikacje przez zainstalowaniem.

niezainstalowane_aplikacje

Złośliwa aplikacja Flaga Polski podczas instalacji żąda następujących uprawnień:

  • modyfikowanie i usuwanie zawartości pamięci USB
  • odczytywanie zawartości pamięci USB
  • odczytywanie stanu i informacji o telefonie

Po zainstalowaniu złośliwej aplikacji żąda ona uprawnień administratora, co zezwoli jej na wykonywanie następujących operacji:

  • Blokowanie ekranu
    Kontrolowanie sposobu i warunków blokowania ekranu

FlagaPolski2_telefon

Druga z aplikacji podczas instalacji żąda dokładnie tych samych uprawnień. Po instalacji również prosi o aktywowanie administratora urządzenia. Wyświetlane komunikaty są identyczne, jak w przypadku pierwszej aplikacji. Przestępcy jedynie w komunikacie aktywacji administratora dodali jedną linijkę:
"Control device wake locks".

FlagaPolski1_telefon

Po zainstalowaniu obu aplikacji są one widoczne jako administratorzy urządzenia.

adiminstratorzy_aplikacje

Sprawdź, jakie aplikacje są administratorami Twojego urządzenia mobilnego w PREBYTES SIRT Security Tips.

Obie aplikacje działają dokładnie w ten sam sposób. Mają służyć do zmiany tapety na urządzeniu mobilnym.

Po uruchomieniu aplikacji, widzimy przycisk "Ustawić tło". Po kliknięciu, pojawia się panel, w którym możemy wybrać interesującą nas tapetę.

dzialanie_aplikacji

Do wyboru mamy kilka tapet, co widzimy na poniższych zdjęciach.

wybor_tapety

Po wybraniu interesującej nas tapety i kliknięciu "Ustaw tapetę" pojawia się ona jako tło ekranu.

ustawiona_tapeta

Jednak celem obu aplikacji Flaga Polska nie jest dostarczenie Ci tapet przedstawiających polskie miasta, czy budynki. Ich celem jest pobranie innej złośliwej aplikacji, która będzie atakowała użytkowników, którzy korzystają z bankowych aplikacji mobilnych.

Docelowo pobierane są aplikacje zawierające złośliwe oprogramowanie BankBot Anubis. Podczas uruchamiania oryginalnych aplikacji bankowych złośliwe oprogramowanie wyświetla fałszywe nakładki. Cyberprzestępcy przy ich użyciu przechwytują login i hasło do bankowości swojej ofiary.

Celem przestępców są Klienci zarówno polskich, jak i zagranicznych bankowości.

Zobacz, jak wyglądają przykładowe nakładki wyświetlane przez złośliwe oprogramowanie.

nakladki