DAJ CYNK

Sklep Play straszy Polaków. Ta aplikacja zmienia dane w przelewach

Piotr Urbaniak (gtxxor)

Bezpieczeństwo

Sklep Play straszy Polaków. W potrzasku klienci dowolnego banku

Niesławny trojan bankowy Sharkbot powraca, a wśród szczególnie zagrożonych pojawiają się Polacy - alarmuje grupa Fox IT.

Zasadniczo na temat szkodliwego oprogramowania w Sklepie Play można byłoby stworzyć po prostu artykuł-szablon, po czym zmieniać w nim wyłącznie nazwy trojanów i datę raportu.

Niniejszym jednak sprawa jest paląca o tyle, że wśród zagrożonych wprost wymieniono użytkowników z Polski. W dodatku pasożyt został ukryty jako narzędzie antywirusowe, co czyni go jeszcze bardziej niebezpiecznym, gdyż raczej niewielu spodziewa się aż tak bezczelnej konspiracji.

Zwodnicze aplikacje to tym razem Mister Phone Cleaner i Kylhavy Mobile Security, mające łącznie około 60 tys. pobrań. Niby niewiele, ale za to kryjący się za nimi atak może dać w kość naprawdę boleśnie. Mianowicie jest to trojan bankowy Sharkbot V2.

Uwaga! Sharkbot V2 potrafi podmienić dane w przelewie

W odróżnieniu od generacji pierwszej, nowy Sharkbot w ogóle nie wykorzystuje systemu uprawnień, co jest relatywnie często wykrywane przez zaporę Sklepu Play.

Zamiast tego przesyła zaszyfrowane żądanie do serwera C&C, by szkodliwy kod zassać jako rzekomą aktualizację. Patrząc z punktu widzenia przestępców, wadą tego rozwiązania jest konieczność uzyskania zgody ze strony użytkownika, ale w zamian atak pozostaje niezauważony.

Po stronie użytkownika najgorsze jest to, że ów malware potrafi przeprowadzać działania typu ATS, czyli mówiąc wprost, podmienić numer rachunku w zleceniu przelewu. Ale na tym niestety nie koniec.

Sharkbot V2 ponadto rejestruje kliknięcia klawiszy i przekazuje SMS-y, w tym te z kodami autoryzacyjnymi. Na domiar złego, radzi sobie z podmianą stron logowania do serwisów transakcyjnych na ich fałszywe, gromadzące wpisywane dane wersje, a od niedawna ponoć przechwytuje także ciasteczka sesji i informację o saldzie.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Kamil Zajaczkowski / Shutterstock

Źródło tekstu: The Hacker News, oprac. własne