Analýzy hrozeb

Bankovní trojský kůň si v Obchodě Google Play stáhlo víc než 10 000 uživatelů

Ondřej David, 9. červenec 2020

Aplikace se vydávala za převodník měn, ve skutečnosti skrývala bankovního trojského koně

Naši analytici z virových laboratoří Avast Threat Labs našli v Obchodě Google Play aplikaci, která sloužila jako trojský kůň a infikovala uživatele bankovním malwarem s názvem Cerberus. Jejími oběťmi byli především Španělé využívající telefony s OS Android. Jak je u bankovních malwarů obvyklé, aplikace se zprvu jevila jako užitečná, aby si získala u uživatelů důvěru, avšak později odkryla i svou stinnou stránku, aby z uživatelů vylákala jejich bankovní informace. Co je však méně obvyklé je, že se aplikace dostala do Obchodu Play. Google totiž pečlivě hlídá, které aplikace do obchodu pustí. Podvodná aplikace nesoucí název Calculadora de Moneda se ale v obchodě prezentovala jako převodník měn. Dle našich výzkumníků své podvodné záměry prvních pár týdnů v obchodě skrývala, resp. sama v prvních verzích žádný zákeřný kód ani neobsahovala, aby získala důvěru svých uživatelů. Zároveň ji tak nezachytili ani bezpečnostní prověrky Google Play, které se starají o vyhledávání potenciálně škodlivých aplikací v obchodě. Až po několika týdnech se projevila její pravá povaha, ale to už si ji mezitím stáhlo více než 10 000 uživatelů. Okamžitě jsme problém Googlu nahlásili, aby jej mohli vyřešit co nejdříve. 

Jak funguje bankovní trojský kůň?

Bankovní trojské koně mají typicky několik fází, snaží se postupovat tak, aby jim jejich uživatel uvěřil, nainstaloval je a pak, aniž by si to uvědomil, předal své bankovní informace. Na správný okamžik si klidně počkají. 

Nejprve se snaží získat důvěru uživatelů, aby si ji stáhlo co nejvíce lidí. To zařídí kyberzločinci tak, že aplikaci převlečou do nového kabátu. Aplikace působí zdánlivě neškodně, dokonce je pro uživatele užitečná. Je to sofistikovaný způsob, jak získat důvěru uživatele. Aplikace v tomto stádiu zatím žádné peníze ani data nekrade. Dle našeho výzkumu takhle Calculadora de Moneda přesně fungovala, když ji začali nic netušící uživatelé v březnu tohoto roku stahovat na svá zařízení. 

Po nějaké době bezproblémového fungování se chování aplikace změní. Aplikace nenápadně stáhne další aplikaci do telefonu, aniž by o tom informovala vlastníka zařízení, případně uživatele nenápadně přesvědčí, aby si aplikaci nainstaloval – např. se maskuje jako aktualizace systému. Pokud si uživatel aplikaci nainstaloval v pozdějších měsících, aplikace v sobě už měla tzv. „dropper” kód, ten ale nebyl zprvu aktivovaný. Command&control server (řídící server = C&C) aplikaci schválně neposílal žádné příkazy, aby uživatel malware v aplikaci neviděl a nestáhl jej. To se ale v posledních několika dnech změnilo. Naši analytici zaznamenali, že C&C server začal nově posílat příkazy, aby aplikace stáhla další, už škodlivou aplikaci – bankovní malware Cerberus. 

V této konečné fázi bankovní malware tiše sedí na infikovaném zařízení a čeká, až uživatel zapne svou bankovní aplikaci. V okamžiku kdy se toto stane ji překryje svou vlastní imitací bankovní aplikace, aniž byste si toho všimli a čeká na zadání přihlašovacích údajů. Většina bankovního malwaru je pak vybavena i dalšími funkcemi, jako je čtení vašich SMS zpráv, nebo tokenů dvoufázového přihlašování, díky kterým se jednoduše dostanou přes vaše ochranná opatření. 

C&C server, ze kterého infikovaní uživatelé stahovali bankovní malware, byl aktivní pouze po několik málo hodin. Po těchto pár hodinách však C&C server přestal odpovídat úplně a nyní už je neaktivní. Zároveň byla také aktualizována Calculadora de Moneda v Google Play na novou verzi, která už znovu neobsahuje žádný zákeřný kód dropper” ani bankovní malware. Ačkoli tak šlo pouze o krátkou dobu, kdy se trojský bankovní kůň šířil mezi uživateli, taktika je u kyberzločinců oblíbená. Mohou tak déle skrývat své úmysly a pravděpodobnost jejich odhalení v tak krátkém časovém okně se výrazně snižuje.

Různé verze škodlivého převodníku měn naleznete v naší platformě apklab.io.

Všechny nálezy jsme neprodleně nahlásili Googlu. 

Jak se bankovním trojským koňům bránit? 

Abyste se podobným praktikám kyberzločinců vyhli, dodržujte tato pravidla: 

  • Zkontrolujte si, že aplikace, kterou si chcete stáhnout, je ověřenou bankovní aplikací. Pokud se vám její prostředí zdá podivné, raději kontaktujte vaši banku a na aplikaci se jí zeptejte. 
  • Používejte dvoufázové ověření nebo ještě lépe biometrické ověření pro přihlášení do internetového bankovnictví, pokud tuto možnost vaše banka nabízí. 
  • Stahujte aplikace pouze ze známých a důvěryhodných zdrojů jako je Obchod Play nebo App Store. Tento malware se do Obchodu Play sice dostal, jeho škodlivá část ale už byla stahována z externího zdroje. Proto si vypněte v nastavení možnost stahovat aplikace z jiných zdrojů. Díky tomu se vám tento typ bankovního trojského koně na vašem zařízení nebude moci aktivovat. 
  • Předtím, než si novou aplikaci nainstalujete, podívejte se na její hodnocení. Pokud si ostatní uživatelé stěžují na její funkčnost, pravděpodobně bude lepší ji nestahovat. 
  • Vždy si zkontrolujte, která povolení po vás aplikace vyžaduje. Jestliže žádá o povolení, která s jejími funkcemi nesouvisí, zbystřete a aplikaci se raději vyhněte. 
  • Nepovolujte aplikacím být administrátorem zařízení. O toto povolení často žádají malwarové aplikace, proto pokud aplikaci zcela nedůvěřujete, toto povolení jí nedávejte. 
  • Používejte mobilní antivirus jako je například náš bezplatný Avast Mobile Security pro Android, který umí podobné hrozby detekovat a ochrání vás před nimi. 

Seznam IoC (Indicators of Compromise): 

  • Hlavní aplikace (dropper) - Currency Converter:
    • C30ebf9fc47e6e12f4467e32bf1b3c055f99659c8c0395df4b3e7107591eb5fa
  • Dropper C&C:
    • 23.106.124.183
  • Stahovaný bankovní malware (banker):
    • D89E08DB5AF347BE72F1307186638AAA062A8DE45A808F57DCE85BC83C94059E
  • C&C bankovního malwaru:
    • goldegrillz.top