Aplikace se vydávala za převodník měn, ve skutečnosti skrývala bankovního trojského koně
Naši analytici z virových laboratoří Avast Threat Labs našli v Obchodě Google Play aplikaci, která sloužila jako trojský kůň a infikovala uživatele bankovním malwarem s názvem Cerberus. Jejími oběťmi byli především Španělé využívající telefony s OS Android. Jak je u bankovních malwarů obvyklé, aplikace se zprvu jevila jako užitečná, aby si získala u uživatelů důvěru, avšak později odkryla i svou stinnou stránku, aby z uživatelů vylákala jejich bankovní informace. Co je však méně obvyklé je, že se aplikace dostala do Obchodu Play. Google totiž pečlivě hlídá, které aplikace do obchodu pustí. Podvodná aplikace nesoucí název Calculadora de Moneda se ale v obchodě prezentovala jako převodník měn. Dle našich výzkumníků své podvodné záměry prvních pár týdnů v obchodě skrývala, resp. sama v prvních verzích žádný zákeřný kód ani neobsahovala, aby získala důvěru svých uživatelů. Zároveň ji tak nezachytili ani bezpečnostní prověrky Google Play, které se starají o vyhledávání potenciálně škodlivých aplikací v obchodě. Až po několika týdnech se projevila její pravá povaha, ale to už si ji mezitím stáhlo více než 10 000 uživatelů. Okamžitě jsme problém Googlu nahlásili, aby jej mohli vyřešit co nejdříve.
Jak funguje bankovní trojský kůň?
Bankovní trojské koně mají typicky několik fází, snaží se postupovat tak, aby jim jejich uživatel uvěřil, nainstaloval je a pak, aniž by si to uvědomil, předal své bankovní informace. Na správný okamžik si klidně počkají.
Nejprve se snaží získat důvěru uživatelů, aby si ji stáhlo co nejvíce lidí. To zařídí kyberzločinci tak, že aplikaci převlečou do nového kabátu. Aplikace působí zdánlivě neškodně, dokonce je pro uživatele užitečná. Je to sofistikovaný způsob, jak získat důvěru uživatele. Aplikace v tomto stádiu zatím žádné peníze ani data nekrade. Dle našeho výzkumu takhle Calculadora de Moneda přesně fungovala, když ji začali nic netušící uživatelé v březnu tohoto roku stahovat na svá zařízení.
Po nějaké době bezproblémového fungování se chování aplikace změní. Aplikace nenápadně stáhne další aplikaci do telefonu, aniž by o tom informovala vlastníka zařízení, případně uživatele nenápadně přesvědčí, aby si aplikaci nainstaloval – např. se maskuje jako aktualizace systému. Pokud si uživatel aplikaci nainstaloval v pozdějších měsících, aplikace v sobě už měla tzv. „dropper” kód, ten ale nebyl zprvu aktivovaný. Command&control server (řídící server = C&C) aplikaci schválně neposílal žádné příkazy, aby uživatel malware v aplikaci neviděl a nestáhl jej. To se ale v posledních několika dnech změnilo. Naši analytici zaznamenali, že C&C server začal nově posílat příkazy, aby aplikace stáhla další, už škodlivou aplikaci – bankovní malware Cerberus.
V této konečné fázi bankovní malware tiše sedí na infikovaném zařízení a čeká, až uživatel zapne svou bankovní aplikaci. V okamžiku kdy se toto stane ji překryje svou vlastní imitací bankovní aplikace, aniž byste si toho všimli a čeká na zadání přihlašovacích údajů. Většina bankovního malwaru je pak vybavena i dalšími funkcemi, jako je čtení vašich SMS zpráv, nebo tokenů dvoufázového přihlašování, díky kterým se jednoduše dostanou přes vaše ochranná opatření.
C&C server, ze kterého infikovaní uživatelé stahovali bankovní malware, byl aktivní pouze po několik málo hodin. Po těchto pár hodinách však C&C server přestal odpovídat úplně a nyní už je neaktivní. Zároveň byla také aktualizována Calculadora de Moneda v Google Play na novou verzi, která už znovu neobsahuje žádný zákeřný kód „dropper” ani bankovní malware. Ačkoli tak šlo pouze o krátkou dobu, kdy se trojský bankovní kůň šířil mezi uživateli, taktika je u kyberzločinců oblíbená. Mohou tak déle skrývat své úmysly a pravděpodobnost jejich odhalení v tak krátkém časovém okně se výrazně snižuje.
Různé verze škodlivého převodníku měn naleznete v naší platformě apklab.io.
Všechny nálezy jsme neprodleně nahlásili Googlu.
Jak se bankovním trojským koňům bránit?
Abyste se podobným praktikám kyberzločinců vyhli, dodržujte tato pravidla:
Seznam IoC (Indicators of Compromise):
1988 - 2021 Copyright © Avast Software s.r.o. | Sitemap Ochrana osobních údajů