- Martin Pokorný
- PC / Notebooky
- 24. ledna 2019
- 07:39
Aplikace pro blokování hovorů otevírala cestu ke vzdálenému přístupu do bankovních účtů
Útok byl zacílen výhradně na klienty bank působících v České republice, kterým mohli hackeři zcizit přihlašovací údaje. Aplikace před odstraněním z obchodu Google Play měla více než 10 tisíc stažení.
Tato hrozba byla detekována již při instalaci aplikace jako Android/Spy.Banker.AGQ. Z pohledu škodlivého kódu, který útočníci použili, se jedná o prakticky stejnou hrozbu, jakou byla aplikace QRecorder ze září loňského roku.
Malware v telefonu čeká na zašifrovaný příkaz z tzv. C&C serveru útočníka, na základě kterého vykoná požadovanou aktivitu. V první fázi škodlivý kód zjišťuje, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné a nemusí se jednat pouze o bankovní aplikace.
Následně je do telefonu stažen modul, který vytvoří neviditelnou vrstvu nad cílovou aplikací, například internetovým bankovnictvím, a snímá přihlašovací údaje uživatele. Útočníci dále mají přístup do SMS zpráv, které jsou nejčastějším druhým ověřovacím faktorem při převodech peněz. Útočníkům tedy nic nebrání, aby si vzdáleně posílali peníze z účtu napadeného uživatele na cizí bankovní účty bez jeho vědomí.
Způsob, jak se uživatel může bránit, není v tomto případě jednoznačný. Aplikace byla stažena z legitimního zdroje Google Play a dříve nepředstavovala žádné riziko.
Sdílení
Twitter
Komentáře
Email