Aplikacje z Google Play kradną dane logowania klientów polskich banków

Eksperci z ESET informują, że w sklepie Google Play, mimo wieloetapowej weryfikacji, znów pojawiło się niebezpieczne oprogramowanie. Wykorzystując fałszywe powiadomienia i strony podszywające się pod serwisy bankowe, aplikacje StorySaver i Crypto Monitor mogą wykradać dane do 14 aplikacji dużych polskich banków.

Aplikacje z Google Play kradną dane logowania klientów polskich banków

11.12.2017 | aktual.: 12.12.2017 09:07

W teorii obie aplikacje mają dostarczać całkiem przydatne możliwości – StorySaver (opublikowany przez kirilsamsonov45) ma służyć pobieraniu na pamięć urządzenia filmów i zdjęć Story z serwisu Instagram, które z założenia mają być dostępne tylko tymczasowo. CryptoMonitor (aurostwa wallteststudio) to zaś z pozoru aplikacja umożliwiająca śledzenie kursów kryptowalut. W rzeczywistości oba wykorzystują ten sam mechanizm kradzieży danych, wycelowany w polskich użytkowników bankowości mobilnej.

W pierwszej kolejności aplikacje skanują pamięć smartfonu w poszukiwaniu dowolnej z czternastu aplikacji bankowych: Alior Mobile, BZWBK24 mobile, Getin Mobile, IKO, Moje ING mobile, Bank Millennium, mBank PL, BusinessPro, Nest Bank, Bank Pekao, PekaoBiznes24, plusbank24, Mobile Bank oraz Citi Handlowy. Następnie, jeśli użytkownik posiada na swoim smartfonie dowolną z aplikacji, StorySaver i CryptoMonitor wysyłają powiadomienie naśladujące komunikat z konkretnego banku, jakiego klientem jest ofiara.

Fałszywe powiadomienie wygenerowane przez jedną ze złośliwych aplikacji po rozpoznaniu, że ofiara korzysta z aplikacji mBanku.
Fałszywe powiadomienie wygenerowane przez jedną ze złośliwych aplikacji po rozpoznaniu, że ofiara korzysta z aplikacji mBanku.

Dalej procedura jest już oczywista – po przejściu na stronę z powiadomienia, użytkownik proszony jest o logowanie na fałszywej stronie, co służy przechwyceniu danych logowania. Ponadto aplikacje proszą także o dostęp do skrzynki SMS-owej, co może służyć przechwyceniu kodów autoryzujących transakcje. ESET rozpoznał zagrożenie jako Android/Spy.Banker.QL, zgłosił zagrożenie Google, co poskutkowało usunięciem programów z Google Play.

Do tego czasu pobrano ją jednak tysiące razy, zaś lwia część użytkowników (96%) pochodzi z Polski. Użytkownikom złośliwych aplikacji zalecamy ich natychmiastowe odinstalowanie, zmianę danych logowania w serwisach bankowych oraz prześledzenie historii transakcji w poszukiwaniu kradzieży środków.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (138)