12.12.2018 14:06 | Bezpečnosť

Internetom sa šíri nový malvér pre Android. V okamihu ukradne peniaze z PayPal

zdroj: Shutterstock
Nežiadúcu transakciu si používateľ všimne, až keď je neskoro. Zdroj: Shutterstock

Nová hrozba sa aktuálne šíri cez pochybné weby a obchody tretích strán.

Bezpečnostní experti zo spoločnosti Eset odhalili zákerný škodlivý kód, ktorého cieľom sú zariadenia s operačným systémom Android. Záškodnícka aplikácia dokáže získať prihlasovacie údaje do internet bankingu, zbiera údaje o platobných kartách a dokonca vie používateľom odcudziť peniaze cez platobnú bránu PayPal.

Bližšie informácie o hrozbe zverejnil portál ZDNet.

Šíri sa cez obchody tretích strán

Malvér označený názvom „Spy.Banker.AJZ“ sa aktuálne šíri len prostredníctvom obchodov tretích strán a cez pochybné internetové stránky. Navonok pôsobí ako nástroj určený pre optimalizáciu výkonu batérie, no v skutočnosti neobsahuje žiadnu z deklarovaných funkcií.

Ukážka falošnej aplikácie. fotogaléria / 3
Ukážka falošnej aplikácie. Zdroj: Eset

Po úspešnej inštalácii sa totiž aplikácia automaticky zatvorí a ukryje svoju ikonu. Následne sa zobrazí vyskakovacie okno žiadajúce povolenie pre údajný zber štatistických údajov. V skutočnosti však ide o prekryté okno, cez ktoré sa udelí záškodníckej aplikácii prístup k funkcii „Zjednodušenie ovládania“ (Accessibility service). Práve vďaka tejto funkcii môže škodlivý kód vykonávať nekalé aktivity.

Peniaze odídu v priebehu piatich sekúnd

Keď nič netušiaca obeť udelí uvedenej aplikácii potrebné povolenia, tak sa v prvej fáze overí, či je v smartfóne nainštalovaná oficiálna aplikácia pre službu PayPal. Ak áno, zobrazí sa upozornenie, aby ju používateľ spustil. Následne sa aktivuje dômyselná, no pritom jednoduchá útočná schéma.

Používateľ totiž otvorí oficiálnu aplikáciu PayPal a riadne vyplní svoje meno a heslo. Ak je aktivovaná dvojfaktorová autentifikácia, zadá aj jednorazový bezpečnostný kód. Okamžite po úspešnom prihlásení však malvér napodobní ťuknutia, ako aj celý pohyb v aplikácii PayPal. Slúži na to práve funkcia „Zjednodušenie ovládania“.

Ilustračná snímka
Čítajte aj Česi obeťou zákerného podvodu. Útočník obchádza dvojfaktorovú autentifikáciu

Doslova v okamihu sa vytvorí príkaz na prevod peňazí, ktorý sa priamo aj odošle. Celá aktivita pritom netrvá ani päť sekúnd a bežný používateľ si ju všimne až keď je neskoro. Ak je totiž k účtu na PayPal pridaná platobná karta s dostatočným objemom peňazí, tak o ne obeť príde.

Konkrétne, v čase výskumu sa malvér pokúsil previesť tisíc eur na účet pod kontrolou útočníkov. Navyše sa tento pokus o prevod peňazí zopakoval vždy, pri každom spustení oficiálnej aplikácie PayPal. V konečnom dôsledku tak môžu prísť obete o nemalé finančné prostriedky.

V rámci názornej demonštrácie bolo zverejnené aj ukážkové video:

A ako to je celé možné? Z pohľadu zabezpečenia prebehlo všetko korektne. Používateľ sa riadne prihlásil, autentifikoval a tým získal plný prístup k svojmu účtu, vrátane prevodov peňazí. Malvér napokon v mene používateľa vytvoril novú platbu a tú potvrdil.

Kradne údaje o platobných kartách

Uvedený škodlivý kód využíva aj prvky phishingu, pričom podsúva falošné okná žiadajúce údaje o platobnej karte. Pod hlavičkou populárnych služieb, akými je WhatsApp, Viber, Skype či Google Play má používateľ vyplniť číslo karty a zrejme aj ďalšie údaje (dátum exspirácie, meno držiteľa či CVV/CVC kód).

Okno požadujúce vyplnenie údajov o platobnej karte. fotogaléria / 3
Okno požadujúce vyplnenie údajov o platobnej karte. Zdroj: Eset

Podobným spôsobom sa prekryjú aj legitímne bankové aplikácie, či prihlasovacie rozhranie na prístup do siete Google. V tomto prípade žiadajú falošné formuláre zadanie prihlasovacieho mena a hesla. Kým pri bankách sa útočníci snažia získať prístup do internet bankingu, pri sieti Google im zrejme ide o Gmail. Výskumníci sa domnievajú, že ich cieľom je odstránenie e-mailového potvrdenia o vykonanej transakcii v službe PayPal.

Aby toho nebolo málo, súčasťou malvéru je aj niekoľko bežných záškodníckych funkcií. Na server kybernetických útočníkov sa napríklad odošle zoznam uložených kontaktov a nainštalovaných aplikácií. Útočníci môžu okrem toho manipulovať s SMS správami (čítať, mazať, odosielať), inštalovať a spúšťať aplikácie či mnoho iného.

Nedajte útočníkom šancu

Podľa aktuálnych informácií neprenikol uvedený škodlivý kód do oficiálneho obchodu. Čitateľom preto odporúčame inštalovať aplikácie výhradne z Google Play a ideálne od spoľahlivých vývojárov. Okrem toho uprednostnite oficiálne verzie hier či programov, pred rôznymi cracknutými, vylepšenými či sľubujúcimi iné výhody.

Rovnako by mal byť v zariadení nainštalovaný a riadne aktualizovaný aj bezpečnostný softvér.

Diskusia 8 Príspevkov