Ostalo

Pozor! Prevare na področju elektronskega bančništva z uporabo zlonamernih aplikacij

Na Uradu Republike Slovenije za preprečevanje pranja denarja so zaznali povečano število prevar z uporabo zlonamernih aplikacij za pametne telefone. Te aplikacije goljufom omogočajo poln nadzor nad napravo, zlorabo mobilnih bančnih aplikacij in finančno oškodovanje uporabnikov.




Na SI-CERT skupaj s policijo preiskujemo zlonamerni aplikaciji, t.i banking trojan infostealer iz družine Anatsa (oz. TeaBot/Toddler), ki sta bili uporabljeni pri finančnem oškodovanju večih žrtev. Gre za aplikaciji, ki preko dodeljenih pravic centra za uporabo storitev dostopnosti (ang. accessibility service) pridobita vse potrebne podatke za odklep naprave, prijavo v mobilno banko in izvedbo nakazila denarja. Po do sedaj znanih podatkih sta bili zlonamerni aplikaciji dostopni na tržnici Google Play Store pod imenom: “Phone Cleaner – File Explorer” in “PDF Reader: File Manager”.

Po podatkih policije je za vse oškodovance enotno, da je bilo preko mobilne banke opravljeno nakazilo finančnih sredstev oškodovancev na druge IBAN račune, od koder je denar potoval na kripto menjalnico.

Dostava tovora in funkcionalnosti trojanca

Zlonamerna aplikacija ob odprtju uporabnika nagovarja k dodelitvi pravic za uporabo storitev dostopnosti (ang. accessibility service). Če ji uporabnik te pravice dodeli, aplikacija prične periodično zajemati posnetke zaslona, beležiti uporabniške klike in vnose, prikazovati zlonamerne poglede in aktivnosti za krajo gesel, pozivati uporabnika k spremembi pomembnih sistemskih nastavitev vključno s kodo za odklepanje naprave, pridobi kode za dvofaktorsko preverjanje iz drugih aplikacij, samodejno izklopi varnostne mehanizme in protivirusno zaščito, bere in pošilja obvestila in pridobi podatke o napravi ter o prijavljenih računih. Če uporabnik zlonamerni aplikaciji odobri še dostop do branja prejetih SMS sporočil, ta pridobi kodo za prijavo v aplikacije, ki uporabljajo dvofaktorsko preverjanje preko SMS sporočila. Vsi omenjeni podatki se napadalcem periodično pošiljajo na kontrolni strežnik.

Zlonamerna aplikacija na kontrolni strežnik pošlje seznam vseh nameščenih aplikacij, na podlagi česar napadalec pripravi lažne strani za krajo prijavnih podatkov. Napadalcu so posebej zanimivi podatki za prijavo v bančne aplikacije. Zlonamerna aplikacija čaka, da uporabnik odpre legitimno bančno aplikacijo in mu v tistem trenutku prikaže lažen vstopni obrazec, ki prekriva legitimno bančno aplikacijo in uporabnika zavede v vpis uporabniškega imena in gesla na lažni strani za krajo podatkov.

Ko aplikacija do napadalca vzpostavi sekundarni kanal za oddaljen dostop, ta že razpolaga z vsemi potrebnimi podatki za odklep naprave, prijavo v mobilno banko in izvedbo nakazila denarja.

Vektorji okužbe

Okužene aplikacije so bile nekaj časa dostopne tudi na trgovini Google Play Store. Zlonamerna aplikacija za svoje delovanje potrebuje pravice za uporabo storitev dostopnosti. Razvijalci aplikacij s tovrstnimi pravicami morajo za objavo svoje aplikacije v trgovini Play Store podati pojasnilo o uporabi pravic za dostopnost in pridobiti Googlovo dovoljenje. Napadalci so ta postopek opravili in po objavi prvotne neškodljive verzije objavili škodljivo posodobljeno verzijo. Posodobljena verzija aplikacije namreč služi kot dostavljalec zlonamerne programske opreme, ki na napravo prenese škodljiv tovor, ga odšifrira in naloži.

Zaščita pred zlonamernimi aplikacijami in priporočeni ukrepi po okužbi

Uporabnikom svetujemo, da aplikacijam ne podeljujejo pravic za dostopnost, saj tako aplikacije pridobijo pravice za branje vsebine zaslona in izvajanje klikov brez uporabniške interakcije. Na ta način napadalci prevzamejo poln nadzor nad napravo.

Ko uporabnik enkrat zažene zlonamerno aplikacijo in ji dodeli pravice za dostopnost, do njenih nastavitev običajno ne more več dostopati, prav tako pa aplikacije ne more enostavno odstraniti. Uporabnikom, ki so škodljivo aplikacijo prenesli, jo odprli in ji dodelili pravice za dostopnost, svetujemo, da svojo napravo zaženejo v varnem načinu in aplikacijo odstranijo.