Fałszywy antywirus na Androida atakuje Polaków

20 grudnia, 2013

Zespół CERT informuje o ponownym wykorzystaniu aplikacji E-Security (a właściwie jej wersji bardziej PRO) – fałszywego antywirusa na system Android. E-Security zdołał już napsuć krwi użytkownikom na początku tego roku [ przeczytaj ]. Obecnie oszuści znowu wymierzyli swoją kampanię przeciwko naiwnym konsumentom.

Schemat infekcji jest podobny. Po zalogowaniu się do strony banku wyświetlany jest komunikat o potrzebie instalacji aplikacji mobilnej – o tyle nie jest to już “certyfikat bezpieczeństwa”, a “program antywirusowy”. Ten nowy malware, przeznaczony na systemy z rodziny Android, odznacza się znacznie większymi możliwościami niż E-Security.

2013 12 16 antivirus device manager

Działanie aplikacji

Schemat ataku jest podobny do tego [ opisu ]. Użytkownikowi na zainfekowanym komputerze, prezentowany jest komunikat graficzny, który informuje go o tym, że jego bank prosi go o zainstalowanie nowej aplikacji na telefon. W tym przypadku był to następujący tekst:

W związku z pojawiającymi się coraz częściej przypadkami instalacji niepożądanego oprogramowania na urządzenia mobilne, między innymi z Google play i App Store, nasz Bank wspólnie z liderem oprogramowania Antywirusowego opracował aplikację antywirusową dla urządzeń mobilnych. Nasz program antywirusowy uniemożliwia zainstalowanie podejrzanego oprogramowania, jak również usuwa wszystkie mobilne wirusy, które już są zainstalowane na Twoim telefonie.
W przypadku odmowy instalacji mobilnej aplikacji antywirusowej, bank NIE ODPOWIADA za zachowanie nienaruszalności środków finansowych na koncie klienta.

//Trzeba przyznać, że tekst jest „chwytliwy”.

Po podaniu numeru telefonu użytkownik otrzymuje link do złośliwej aplikacji, a następnie ją instaluje i instalację potwierdza przepisaniem “kodu aktywacyjnego” wyświetlonego w oknie malware. W menu naszego telefonu pojawi się wtedy pozycja “Mobile Antivirus”.

Aplikacji podczas instalacji prosi o następujące uprawnienia:

READ_PHONE_STATE<br>ACCESS_WIFI_STATE<br>CHANGE_WIFI_STATE<br>READ_PHONE_STATE<br>CALL_PHONE<br>ACCESS_NETWORK_STATE<br>CHANGE_NETWORK_STATE<br>WRITE_EXTERNAL_STORAGE<br>ACCESS_NETWORK_STATE<br>INTERNET<br>RECEIVE_BOOT_COMPLETED<br>WRITE_SMS<br>READ_SMS<br>RECEIVE_SMS<br>SEND_SMS<br>RECEIVE_BOOT_COMPLETED<br>READ_CONTACTS<br>WRITE_CONTACTS<br>RECORD_AUDIO<br>ACCESS_FINE_LOCATION<br>MODIFY_AUDIO_SETTINGS 

Dodatkowo, po instalacji, użytkownik jest proszony o dodanie aplikacji do administratorów urządzenia – specjalnej kategorii aplikacji, które mogą mieć szersze uprawnienia niż zwykłe aplikacje. W tym przypadku chodzi o możliwość usunięcia danych z telefonu oraz kontrolować blokadę ekranu. Okno z taką prośbą zaprezentowane jest po lewej. Warto zwrócić uwagę na uzasadnienie wymagania tych uprawnień: “Additional text explaining why this needs to be added.”

Różne interfejsy graficzne

Aplikacja ta udaje nie tylko program antywirusowy. Istnieją również wersje podszywające się pod aplikację konkretnych banków. Na całe szczęście CERT nie zaobserwował wersji skierowanej na polskie banki. W przypadku wersji skierowanej na konkretny bank, aplikacja prosi o podanie hasła, potwierdzenie go i następnie generuje – w ten sam sposób co w “zwykłej” wersji – kod aktywacyjny, który najprawdopodobniej należy podać w okienku, które zostało wyświetlone po zalogowaniu.

Do czego zdolny jest E-Security?

  • Przesłanie informacji o stanie telefonu (połączenie z Internetem, nazwa producenta),
  • nagrywanie dźwięków za pomocą mikrofonu telefonu,
  • pobranie plików zdjęć z karty SD
  • pobranie wszystkich wiadomości SMS ze skrzynki odbiorczej,
  • pobranie listy zainstalowanych aplikacji,
  • usunięcie wszystkich danych z telefonu,
  • nagrywanie rozmów telefonicznych,
  • pobranie współrzędnych geograficznych aktualnej pozycji – zarówno za pomocą GPS jak i sieci komórkowej,
  • pobranie listy kontaktów,
  • przekierowanie rozmów za pomocą kodu USSD *21*numer_telefonu#,
  • wysłanie wiadomości SMS na zadany numer,
  • zapisywanie wiadomości SMS do bazy danych, w celu przekazania ich atakującemu.

Więcej informacji [ tutaj ]

źródło: CERT Polska

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]