Krajobraz zagrożeń zmienia kierunek – coraz więcej trojanów bankowych na Androida

13 maja, 2016
trojan_spysms

Dziesiątki, jeśli nie setki różnych trojanów bankowych atakuje użytkowników systemu Android każdego dnia. Jednym z najczęściej rozpoznawalnych przez ekspertów antywirusowej firmy Doctor Web jest Android.SmsSpy.Origin, który został zauważony po raz pierwszy w 2015 roku. Chociaż według przeprowadzonych analiz wydawać by się mogło, że tak stary wirus nie powinien stanowić już zagrożenia dla urządzeń z systemem Android, to jego imponująca popularność sprawia, że posiadacze telefonów z systemem (przede wszystkim) Kit Kat powinni mieć się na baczności.

trojan smsspy
Trojany bankowe to oczywiście najniebezpieczniejsze szkodniki dla osób, które aktywnie korzystają z bankowości internetowej. Ale to nie najważniejsze zmartwienie, które powinno zaprzątać głowę użytkowników. Ważniejszy od pytania “co” stanowi zagrożenie, jest – “dlaczego” i jak temu zapobiegać.

Wspomniany wcześniej trojan Android.SmsSpy.origin “w początkowym stadium rozwoju” był dość prymitywny. Jego pierwsze wersje były zaprojektowane do przechwytywania wiadomości tekstowych, które zawierały jednorazowe hasła odbierane od bankowych bramek SMS. Trojan potrafił wstrzymywać usługę uruchomioną w tle systemu Android odpowiedzialną za wysłanie wiadomości SMS, więc tak naprawdę zainfekowane urządzenie nie wzbudzało żadnych podejrzeń, że coś niedobrego dzieje się z komunikacją GSM. Tak naprawdę, w tym czasie trojan wysyłał przechwycone wiadomości ze skrzynki odbiorczej do zdefiniowanego w pliku konfiguracyjnym wirusa adresu serwera. W pliku tym znajdowały się też unikalne adresy URL przeznaczone dla konkretnych aplikacji bankowych, po to, aby po uruchomieniu programu do obsługi konta internetowego banku X, trojan wyświetlał własną nakładkę imitują aplikację zaprojektowaną przez bank użytkownika. 

trojan smsspy2

Podanie identyfikatora klienta oraz hasła nie kończyło szkodliwej aktywności trojana. Szkodnik przekierowywał do fałszywej strony banku, gdzie wyłudzano  poufne dane z karty debetowej / kredytowej. 

Przykładowe unikalne adresy stron prawdziwych banków – i phishingowych.

„com.paypal.android.p2pmobile” – „http://******merti.com/333/l/pl/paypal.php”
„de.commerzbanking.mobil” – „http://******merti.com/333/l/de/06.php”
„com.ing.diba.mbbr2” – „http://******merti.com/333/l/de/13.php”
„de.ing_diba.kontostand” – „http://******merti.com/333/l/de/13.php”
„de.fiducia.smartphone.android.banking.vr” – „http://******merti.com/333/l/de/15.php”

O podobnym zagrożeniu pisaliśmy niedawno nawiązując do komunikatu Związku Banków Polskich, gdzie ostrzegaliśmy przed trojanem, który podstawia nowe okno dla 68 prawdziwych aplikacji bankowych, w tym również dla kilku aplikacji obsługiwanych przez banki obsługujące klientów terenie naszego kraju.

Kilka aplikacji bankowych, pod które trojan Android.SmsSpy.Origin potrafi się podszywać:

  • pl.bzwbk.bzwbk24
  • pl.bzwbk.mobile.tab.bzwbk24
  • pl.eurobank
  • pl.ing.ingmobile
  • pl.mbank
  • pl.pkobp.iko

Według przeprowadzonej analizy, na początku bieżącego roku badacze z Doctor Web uzyskali dostęp do ponad 50 botnetów, przez które przestępcy kontrolowali zdalnie zainfekowane urządzenia. I chociaż użytkownicy z Polski pod względem ilość zainfekowanych urządzeń według kraju nie zajmowali niechlubnych miejsc na podium w statystykach, to trojan ten zdołał napsuć nam krwi do tego stopnia, że interweniował Związek Banków Polskich ostrzegając przed szkodliwymi wiadomościami SMS, które zawierały linki do stron z fałszywymi aplikacjami polskich banków. 

W jaki sposób chronić swoje urządzenie i środki pieniężne?

Po pierwsze nie należy wpadać w panikę i rezygnować z obsługi konta bankowego przez mobilną aplikację. Większość banków posiada wystarczające zabezpieczenia, jednak na próby wyłudzenia loginów i haseł bank nic nie może poradzić. Może jedynie ostrzegać. 

Złośliwe mobilne oprogramowanie, w tym trojany bankowe, aby zagrozić użytkownikowi muszą najpierw zostać zainstalowane. A może zdarzyć się to na skutek pobrania przez ofiarę zainfekowanej aplikacji z podstawionej przez przestępców strony internetowej, a także poprzez atak drive-by download, o którym wspominaliśmy kilka dni temu.

Zdecydowaną większość prób infekcji można rozpoznać jeszcze przed pobraniem złośliwej aplikacji. W takich przypadkach najlepszym i najrozsądniejszym zabezpieczeniem jest poznanie metod przestępców oraz zainstalowanie mobilnego oprogramowania antywirusowego. W końcu Android stał się drugim Windowsem, więc z takiego samego powodu wiedzie na pokuszenie autorów złośliwego oprogramowania. A mit, jakoby mobilne antywirusy spowalniały przeglądanie stron internetowych lub wpływały na żywotność baterii został obalony kilkukrotnie przez wydajnościowe testy AV-C oraz innych labów z wykorzystaniem profesjonalnego sprzętu. 

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]