Ostrzeżenie przed trojanem bankowym wymierzonym w polskie banki

9 lutego, 2023

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Urzędu Komisji Nadzoru Finansowego (CSIRT KNF) w poście Michała Strzelczyka i Łukasza Cepoka ostrzega przed trojanem bankowym o nazwie HOOKBOT. Zostało ono dostrzeżone na forum przestępczym, gdzie znajduje się oferta do kupna tego złośliwego oprogramowania. Ponadto analiza ekspertów ujawnia, że autor postu nie pierwszy raz dodaje tego typu ogłoszenie – wcześniej sprzedawał dostęp do trojanów BlackRock i ERMAC (oba zidentyfikowało CERT Polska), które były wykrywane w polskiej cyberprzestrzeni.

hookbot trojan mobilny

Autorzy raportu opisują techniczne możliwości zaprogramowane w trojanie: uzyskuje ono dostęp do prywatnych informacji użytkownika, hasła do bankowości, kont e-mail, portfeli kryptowalut, serwisów społecznościowych.

Podszywa się pod legalne aplikacje bankowe podstawiając szereg formularzy, które przypominają logowanie do serwisów online:

  1. Allegro
  2. Bank BPH
  3. Bank Polskiej Spółdzielczości
  4. Santander Bank Polska
  5. Ceneo
  6. Rossmann
  7. EnveloBank
  8. Euro Bank
  9. Fakturownia
  10. Idea Bank
  11. iFirm
  12. ING Bank Śląski
  13. mBank
  14. Millennium Bank
  15. Nest Bank
  16. Noble Bank
  17. Novum Bank
  18. Orange Polska
  19. PKO BP
  20. Raiffeisen Bank
hookbot trojan

Złośliwe oprogramowanie celuje również w aplikacje obsługujące portfele kryptowalutowe, takie jak:

  1. Cryptopay
  2. MyWallet
  3. BitPay
 

HookBot jest dystrybuowany przez fałszywe aplikacje, które maskują się jako legalne, często popularne oprogramowanie np. przeglądarka Google Chrome. Uwagę badaczy zwraca też fakt, że jest to typowe zachowanie dla malware, ponieważ trojan chce uzyskać dostęp do wszystkich krytycznych funkcji telefonu: SMS, MMS, GPS, mikrofon.

hookbot google chrome

CSIRT KNF radzi:

  • pobierać aplikacje z oficjalnego sklepu Google Play,
  • sprawdzać uprawnienia wymagane przez aplikację przed jej zainstalowaniem (informacje te dostępne są w sklepie Google Play),
  • sprawdzić, którym aplikacjom przyznano usługi dostępności i wyłączyć te, które nie są niezbędne,
  • regularnie aktualizować oprogramowanie na swoim urządzeniu.
 

Pełen raport techniczny dostępny jest tutaj.

Trojan, aby zainstalować się na urządzeniu użytkownika, potrzebuje od niego zgody, dlatego edukacja w tym zakresie będzie najtańszą i długofalową inwestycją w bezpieczeństwo. Wiedząc, jak postępują oszuści, masz nad nimi przewagę, ponieważ możesz w porę dostrzec próbę podszywania się pod zaufane źródło, takie jak bank lub inna instytucja finansowa, w celu wyłudzenia danych osobowych i poufnych informacji, takich jak hasła i numery kont bankowych.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 6

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]