Odkrita je bila nova vrsta zlonamerne programske opreme za mobilno bančništvo, ki zlorablja Androidove funkcije dostopnosti za iskanje občutljivih podatkov s finančnih aplikacij, branje SMS sporočil uporabnikov in ugrabljanje dvofaktorskih kod za preverjanje pristnosti na osnovi SMS.

 

android-zlonamerna-programska-oprema

 

Android zlonamerna programska oprema, ki se imenuje EventBot, lahko cilja na več kot 200 različnih finančnih aplikacij, vključno z bančništvom, storitvami prenosa denarja in denarnicami s kriptovalutami, kot so Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise in Coinbase.

 

»EventBot je še posebej zanimiv, ker je odkrit v tako zgodnjih fazah,« so povedali raziskovalci.

 

Ta popolnoma nova zlonamerna programska oprema ima resničen potencial, da postane naslednja velika mobilna zlonamerna programska oprema, saj je v nenehnih ponavljajočih se izboljšavah, zlorablja kritično funkcijo operacijskega sistema in cilja na finančne aplikacije.

 

Kako zloraba poteka?

Kampanja, ki so jo prvič opazili letošnjega marca, prikrije svoje zlonamerne namene, saj se v zakonitih spletnih trgovinah APK in drugih spletnih mestih predstavlja kot zakonite aplikacije (npr. Adobe Flash, Microsoft Word), ki ob namestitvi na napravi zahtevajo obsežna dovoljenja.

 

Dovoljenja vključujejo dostop do nastavitev dostopnosti, možnost branja iz zunanjega pomnilnika, pošiljanje in prejemanje SMS sporočil, zagon v ozadju in sam zagon po zagonu sistema.

 

android-zlonamerna-programska-oprema

 

Če uporabnik odobri dostop, EventBot deluje kot keylogger in lahko pridobiva obvestila o drugih nameščenih aplikacijah in vsebini odprtih oken, poleg tega, uporablja storitve Android za dostopnost, da “ugrabi” PIN za zaklepanje zaslona in vse zbrane podatke v šifrirani obliki pošlje na strežnik, ki je pod nadzorom hekerja.

 

Z možnostjo razčlenitve SMS sporočil je tudi bančni trojanec, uporabno orodje za izogibanje dvofaktorski avtentikaciji, ki temelji na SMS-u, s čimer je napadalcem omogočen enostaven dostop do denarnic za kriptovalute žrtev in krajo sredstev z bančnih računov.

 

To ni prvič, da (mobilna) android zlonamerna programska oprema cilja na finančne storitve. Prejšnji mesec so raziskovalci IBM X-Force podrobno opisali novo kampanjo TrickBot, imenovano TrickMo, ki je bila namenjena izključno nemškim uporabnikom. Zlonamerna koda je zlorabljala funkcije dostopnosti za prestrezanje enkratnih gesel (OTP), mobilnih TAN (mTAN) in pristnih kod za preverjanje pristnosti pushTAN.

 

Kaj svetujemo?

Za namestitev ali posodobitev mobilnih spletnih aplikacij držite uradnih spletnih strani, prav tako pa dobro preberite, kaj vse aplikacija zahteva od vas (dostop do imenika, dostop do sistemskih nastavitev…).

 

V kolikor se vam zdi kaj sumljivo, raje prekinite z nadaljevanjem in poiščite nasvet pri strokovnjakih.

 

Pametne naprave hranijo veliko osebnih in poslovnih podatkov, ki jih želite varovati. Kako še zavarovati mobilne naprave, sploh v časih povečanega dela na daljavo, preverite v priročniku 8 nasvetov za varnost vaših mobilnih naprav, ki smo ga pripravili s kolegi. V kolikor imate specifična vprašanja ali izziv, se lahko vedno obrnete na nas.

 

Prispevek je pripravil Boris Krajnc.