Celem złośliwego oprogramowania znanego jako KorBanker stali się użytkownicy systemu mobilnego Android. Zagrożenie to kradnie wiadomości SMS, w tym poufne informacje zawarte w ich treściach, jak na przykład kody weryfikacyjne oraz informacje na temat lokalizacji. Jak podaje FireEye – firma, która odkryła KorBanker i zajmowała się śledzeniem jego ewolucji stwierdziła, że zagrożenie w głównej mierze zainfekowało urządzenia w Korei. W ciągu niecałych dwóch miesięcy zagrożenie ukradło 10 000 wiadomości SMS z 96 urządzeń. Zauważono, że od 1 sierpnia br. zagrożenie powiększyło zasięg swojego działania i obejmuje już ponad 1700 urządzeń.
Jakiego typu dane zostały skradzione?
FireEye stwierdziło, że napastnicy zazwyczaj przechwytywali informacje zawierające dane o lokalizacji, spośród wiadomości SMS były również takie, które zawierały kody służące procesowi uwierzytelniania użytkowników – przekazywanych w formie tekstu, w tym dwa kody weryfikacyjne do kont Google i Facebook. Łupem napastników padły również hasła do usługi prywatnej sieci wirtualnej (VPN).
„Najogólniej rzecz biorąc kradzież miała na celu pozyskanie poufnych danych przesyłanych za pośrednictwem wiadomości SMS”, powiedział Hitesh Dharmdasani – badacz malware firmy FireEye. Dodał również, że „pośród tych danych znajdują się także kody służące do przeprowadzenia resetowania hasła do konta, gdy go zapomnimy.”
Początki zagrożenia
W początkowej fazie rozwoju zagrożenia (tj. w listopadzie ubiegłego roku) KorBanker powstał jako aplikacja bankowa, która miała na celu uzyskanie danych logowania do konta bankowego. Po jej zainstalowaniu na urządzeniu poszukiwała ona zainstalowanych konkretnych aplikacji bankowych na urządzeniu, a w momencie ich znalezienie zastępowała prawdziwe aplikacje ich złośliwymi odpowiednikami w celu przekierowania użytkowników do fałszywych stron logowania.
źródło: SC MAGAZINE
