W Google Play znów czaił się trojan bankowy. Tym razem winna jest aplikacja do skanowania kodów QR. Spełniała swoje zadanie, ale to tylko przykrywka.
Atakujący wykorzystali sprawdzony i skuteczny sposób, by atakować telefony z Androidem. Do Google Play wprowadzili kilka aplikacji z nieprzyjemną „niespodzianką”. Wszystkie spełniały swoje zadanie i nieświadomy niczego użytkownik mógł z niej swobodnie korzystać. W tle zaś obecny był trojan TeaBot (znany również jako Anatsa). Jego podstawowym zadaniem jest wykradanie danych logowania do banku, a potem pieniędzy. Może też przechwytywać SMS-y i jednorazowe kody z aplikacji Google Authenticator, używane przy logowaniu dwuetapowym.
Zobacz: Bitdefender ostrzega przed groźnym trojanem na Androida
Najwięcej szkód wyrządziła prawdopodobnie apka o nazwie QR Code Reader - Scanner App. Została zainstalowana ponad 100 tysięcy razy między 6 grudnia i 17 stycznia. Specjaliści z BitDefendera rozpoznali więcej takich aplikacji, które były aktywne w różnym czasie. Na liście wymienione zostały: 2FA Authenticator, QR Scanner APK, QR Code Scan oraz Smart Cleaner. Podobna analiza, przeprowadzona przez specjalistów z ThreatFabric, wymienia także skanery kodów QR, skanery dokumentów, ściągające Antasę. Trojan był przez nie rozprowadzany przynajmniej od kwietnia 2021 roku.
Aplikacja udostępniona w Google Play nie miała szkodliwego komponentu. W takiej sytuacji nie przeszłaby kontroli w sklepie Google. By zainstalować trojana, atakujący stosowali dwa mechanizmy. Pierwszy był dość oczywisty. Użytkownik dostawał informację, że do działania aplikacji potrzebna jest jeszcze wtyczka, co właściwie nie jest niczym nietypowym. Ten zabieg jednak pozwalał przekonać ofiarę, by umożliwiła instalowanie aplikacji spoza sklepu Google Play na swoim telefonie. Poza skanowaniem kodów QR aplikacja miała możliwość także sprawdzenia kodu regionalnego operatora oraz ściągnięcia pliku APK z trojanem z repozytorium na GitHubie.
Drugi sposób jest nieco bardziej finezyjny i wymaga więcej czasu. Aplikacja spełnia swoje zadanie i jest aktualizowana, co z punktu widzenia użytkownika wygląda całkowicie normalnie. Jednak każda z aktualizacji dostarcza kolejny kawałek układanki. Z czasem niewinny skaner kodów QR zamieni się w narzędzie do wykradania informacji. Co więcej, jeśli jeden z mechanizmów zaczynał zawodzić, można łatwo przestawić całą kampanię na inny. To metoda bardzo elastyczna i nastawiona na długoterminowe zyski.
Zobacz: SMS z piekła rodem. Skusisz się i czyszczą Ci konto
Pewną pomocą był też system reklam Google Ads. Cyberprzestępcy płacili bowiem za obecność na bannerach reklamowych w innych, zupełnie nieszkodliwych aplikacjach i grach. W ten sposób mogli docierać do milionów użytkowników.
Jak żyć? Przede wszystkim sprawdź, czy Twoja aplikacja do robienia zdjęć nie ma przypadkiem możliwości odcyfrowania kodów QR i skanowania dokumentów. Może w ogóle możesz uniknąć instalowania kolejnej apki. Jeśli nie i rzeczywiście potrzebujesz dodatkowych narzędzi, wybierz taką aplikację, której dewelopera na pewno możesz zweryfikować. Nie ufaj reklamom, które wyświetlają się w Twojej ulubionej grze na telefon. Pamiętaj, że reklamować się może każdy, nawet jeśli zarabia nieuczciwie.
Źródło zdjęć: Shutterstock, BitDefender
Źródło tekstu: Bitdefender, ThreatFabric, oprac. własne