W Polsce zaatakowały klientów bzwbk, bzwbk24pl, ibiznes24, ipko, mbank
Artykuł powstał przy współpracy z Niels Croese ze SfyLabs oraz Lukášem Štefanko z ESETu.
Eksperci ds. bezpieczeństwa Mobilnego Avast przy współpracy z analitykami ESET oraz SfyLabs, przygotowali analizę nowej wersji trojana mobilnego: BankBota, które w tym roku kilkakrotnie trafiało na Google Play, kierując ataki na aplikacje dużych banków w USA, Australii, Niemczech, Holandii, Francji, Polsce, Hiszpanii, Portugalii, Turcji, Grecji, Rosji, Dominikanie, Singapurze i na Filipinach.
W ostatnim czasie zaobserwowaliśmy dwie fale ataków w październiku BankBota i listopadzie: złośliwych aplikacje Mazar i Red Alert. Ukrywały się one w rzekomo godnych zaufania aplikacjach lamp błyskowych oraz gier do pasjansa Solitaire. Jednak zamiast wnosić światło, czy rozrywkę w życie swoich użytkowników, szpiegowały ich, zbierając dane do logowania do mobilnych aplikacji bankowych, umożliwiając kradzież pieniędzy z kont bankowych.
Dzięki naszej interwencji firma Google usunęła wszystkie znane wersje BankBotu z Google Play, jednak niektóre z nich były aktywne do 17 listopada.To wystarczyło, aby aplikacja zaatakowała tysiące użytkowników.
Google stosuje zaostrzone środki bezpieczeństwa: skanowanie i weryfikację wszystkich aplikacji przesłanych do Sklepu Play, aby uniemożliwić przenikanie szkodników do serwisu. Jednak autorzy mobilnych trojanów bankowych zaczęli używać specjalnych technik, które obchodzą automatyczne detekcje Google, rozpoczynając szkodliwą działalność kilka godzin po przyznaniu uprawnień administratora urządzenia. Oszuści wykorzystali również inną metodę: publikując aplikację pod różnymi nazwami programistów.
Jak więc działają opisywane trojany bankowe? Najistotniejszą informacją jest to, że same aplikacje bankowe nigdy nie zostały zaatakowane. Zamiast tego, dochodzi do instalacji fałszywego interfejsu użytkownika, swego rodzaju przykrywki, która jest nakładana na prawdziwą aplikację bankową, gdy ta jest otwierana przez użytkownika. W ten sposób, użytkownik nie loguje się w swojej aplikacji, ale na nakładce podsuniętej przez przestępce, udostępniając mu w ten sposób swoje dane. Europejskie banki stosują numery uwierzytelniające transakcje (TAN), formę uwierzytelniania dwuskładnikowego. Cyberprzestępcy przechwytują wiadomość tekstową swoich ofiar, która obejmuje mobilny numer TAN, dzięki czemu są w stanie przeprowadzić przelewy bankowe w imieniu użytkownika. Szkodnik ten zachowuje się w podobny sposób, jak złośliwa aplikacja opisana we wrześniu przez firmę Trend Micro.
Pierwszą próbkę nowej wersji złośliwego oprogramowania BankBot w Google Play znaleźliśmy 13 października 2017 r. Została ukryta w aplikacjach: "Tornado FlashLight" (com.andrtorn.app), a później w "Lamp For DarkNess" i "Sea FlashLight".
Próbka nie została wykryta, a funkcjonalność i wydajność lamp błyskowych pozostawała bez zmian. 
Aplikacje lampy błyskowej zawierały malware BankBot, który rzeczywiście potrafił świecić.
Na przełomie października i listopada mieliśmy do czynienia z drugą falą ataków. Pojawiły się aplikacja do czyszczenia smartfonów i wiele aplikacji do gier pasjansowych z wbudowanym złośliwym oprogramowaniem.
Zainfekowana aplikacja do gry w pokera Solitaire, pojawiła się w drugiej fali ataków.
Zaraz po pobraniu tych aplikacji złośliwe oprogramowanie zostaje aktywowane. Sprawdza, jakie aplikacje są zainstalowane na zainfekowanym urządzeniu na podstawie zakodowanej, wstępnie obliczonej listy 160 aplikacji mobilnych SHA1. Nazwy pakietów są mieszane i dlatego udało nam się zidentyfikować tylko 132 z nich. Lista ta zawiera aplikacje Wells Fargo i Chase w USA, Credit Agricole we Francji, Santander w Hiszpanii, Commerzbank w Niemczech i wiele innych z całego świata.
Pełną listę aplikacji docelowych znajdziesz na końcu tego wpisu. Jeśli złośliwe oprogramowanie jest w stanie zidentyfikować jedną lub więcej aplikacji z listy SHA1 zainstalowanej w telefonie, inicjuje "usługę", która może wykonywać długie operacje w tle. Usługa obejmuje funkcję droppera, która umożliwia pobranie innej aplikacji z serwera sieciowego w celu zainstalowania jej na urządzeniu.
Porównanie starej i nowej wersji BankBotu: Nowa wersja najpierw pobiera zawirusowany pakiet z zewnętrznego źródła.
Szkodliwe oprogramowanie komunikuje się z serwerem Command and Control (C&C) za pośrednictwem usługi Firebase firmy Google w celu ukrycia korzysta z szyfrowanej komunikacji:
Następnie złośliwe oprogramowanie uruchamia wyszukiwanie aplikacji bankowych, także po włączeniu urządzenia. Jeśli wykryje jedną z aplikacji na urządzeniu, usługa uruchomi się.
Po uruchomieniu usługa spróbuje nakłonić ofiarę do przyznania praw administratora aplikacji, udając aktualizację w Sklepie Play (lub systemie) za pomocą podobnej ikony i nazwy pakietu:
Aplikace dropper doskonale imituje szatę graficzną Google
Dwie godziny po uzyskaniu uprawnień administratora złośliwe oprogramowanie zacznie pobierać swoją zawartość - pakiet APB BankBota (com.vdn.market.plugin.upd). Uważamy, że cyberprzestępcy używają tego dwugodzinnego okna, aby uniknąć kontroli Google i ewentualnej wpadki. Dotyczy to wszystkich próbek droppera i za każdym razem, gdy pobierany jest plik APB BankBota z hxxp://138.201.166.31/kjsdf.tmp:
Kiedy złośliwy pakiet zostanie pobrany z serwera, malware próbuje zainstalować pakiet APK przy użyciu standardowego mechanizmu instalacji Androida dla aplikacji hostowanych poza sklepem Google Play. Wymaga to skonfigurowania smartfona, aby akceptował instalacje z nieznanych źródeł. Jeśli ta funkcja nie jest włączona, system Android wyświetli błąd i instalacja zostanie zakończona.
W przeciwnym razie użytkownik zostanie poproszony o zaakceptowanie, aby kontynuować instalację. W przeciwieństwie do nowszej wersji BankBota, droppery z poprzednich kampanii były znacznie bardziej wyrafinowane. Zastosowano w nich techniki, takie jak wykonywanie kliknięć w tle za pośrednictwem usługi dostępności, aby umożliwić instalację z nieznanych źródeł. Google zablokowało tę usługę dla wszystkich aplikacji tej jesieni, z wyjątkiem tych, które mają świadczyć usługi dla niewidomych. Dlatego nowa wersja BankBota nie może już dłużej korzystać z tego mechanizmu.
Nazwa i ikona pakietu do zainstalowania złośliwego oprogramowania sprawia, że użytkownik jest przekonany, że ma do czynienia z aktualizacją Google Play. Po zakończeniu instalacji nowy pakiet APK zażąda również uprawnień administratora urządzenia.
Zrzucony pakiet APK sprawdza różne wskaźniki, bez względu na to czy działa w emulatorze, czy bezpośrednio na urządzeniu. Kontrole anty-sandbox mogą pomóc złośliwemu oprogramowaniu ominąć lub opóźnić wykrycie przez silniki antywirusowe.
Gdy użytkownik otworzy jedną z wyżej wymienionych aplikacji bankowych, złośliwa aplikacja zostanie aktywowana i utworzy nakładkę do prawdziwej aplikacji bankowej. Avast Threat Labs przetestował ten mechanizm za pomocą aplikacji lokalnego czeskiego banku. W poniższym filmie możesz zobaczyć, jak działa nakładka. Po wprowadzeniu danych bankowych, wpadają one w ręce cyberprzestępców.
Wiele banków stosuje tak zwane uwierzytelnianie dwuskładnikowe, co zapewnia, że transakcja jest bezpieczna i może być wykonana tylko przez klienta tego banku. BankBot zawiera również funkcję odczytywania wiadomości SMS, więc gdy kod weryfikacyjny dociera na telefon użytkownika, cyberprzestępcy mogą go natychmiast wykorzystać i przelać pieniądze na swoje konta.
Co ciekawe szkodliwe oprogramowanie nie działa na Ukrainie, Białorusi i w Rosji. To najprawdopodobniej ochroni cyberprzestępców przed niechcianą uwagą organów ścigania w tych krajach.
Kolejną ciekawostką jest fakt, że pomimo iż dropper Tornado FlashLight został usunięty z Google Play, początkowo nie był w ogóle wykrywany przez funkcję Google Play Protect. To samo dotyczy szkodliwego oprogramowania z droppera.
Zainfekowana aplikacja do grania Solitaire, która pojawiła się w drugiej fali ataków
Jak się możesz chronić przed atakami mobilnych trojanów?
Aby chronić się przed trojanami bankowości mobilnej, zalecamy użytkownikom wykonanie następujących kroków:
(Kliknij tutaj aby uzyskać tabelkę IOC pokazaną poniżej)
| 1 | 2 | 3 | 4 | 5 | 6 |
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Polityka prywatności
