Imaš na telefonu katero izmed teh aplikacij? Morda ti lahko v resnici ukrade denar
SI-CERT opozarja na zlonamerne aplikacije, imenovane banking trojan infostealer iz družine Antsa (oz. TeaBot/Toddler), ki finančno oškodujejo žrtve. Zakaj gre?
Gre za aplikacije, ki preko dodeljenih pravic centra za uporabo storitev dostopnosti (ang. accessibility service) pridobijo vse potrebne podatke za odklep naprave, prijavo v mobilno banko in izvedbo nakazila denarja. Po do sedaj znanih podatkih so bile zlonamerne aplikacije dostopne na tržnici aplikacij Google Play Store pod imeni “Phone Cleaner – File Explorer” in “PDF Reader: File Manager”.
Pri vseh zabeleženih oškodovanjih je bilo preko mobilne banke opravljeno nakazilo finančnih sredstev oškodovancev na IBAN račune kripto menjalnice.
Kako pride do zlorabe?
Zlonamerna aplikacija ob odprtju uporabnika nagovarja k dodelitvi pravic za uporabo storitev dostopnosti (ang. accessibility service). Če ji uporabnik te pravice dodeli, aplikacija prične:
- periodično zajemati posnetke zaslona,
- beležiti uporabniške klike in vnose,
- prikazovati zlonamerne poglede in aktivnosti za krajo gesel,
- pozivati uporabnika k spremembi pomembnih sistemskih nastavitev vključno s kodo za odklepanje naprave,
- pridobi kode za dvofaktorsko preverjanje iz drugih aplikacij,
- samodejno izklopi varnostne mehanizme in protivirusno zaščito,
- bere in pošilja obvestila in
- pridobi podatke o napravi ter o prijavljenih računih.
Če uporabnik zlonamerni aplikaciji odobri še dostop do branja prejetih SMS sporočil, ta pridobi kodo za prijavo v aplikacije, ki uporabljajo dvofaktorsko preverjanje preko SMS sporočila. Vsi omenjeni podatki se napadalcem periodično pošiljajo na kontrolni strežnik.
Sledijo lažne strani za krajo podatkov
Zlonamerna aplikacija na kontrolni strežnik pošlje seznam vseh nameščenih aplikacij, na podlagi česar napadalec pripravi lažne strani za krajo prijavnih podatkov.
Napadalcu so posebej zanimivi podatki za prijavo v bančne aplikacije. Zlonamerna aplikacija čaka, da uporabnik odpre legitimno bančno aplikacijo in mu v tistem trenutku prikaže lažen vstopni obrazec, ki prekriva legitimno bančno aplikacijo in uporabnika zavede v vpis uporabniškega imena in gesla na lažni strani za krajo podatkov.
Ko aplikacija do napadalca vzpostavi sekundarni kanal za oddaljen dostop, ta že razpolaga z vsemi potrebnimi podatki za odklep naprave, prijavo v mobilno banko in izvedbo nakazila denarja.
V enem od analiziranih primerov aplikacija kot sekundarni kanal uporablja TeamViewer Quicksupport aplikacijo.
Previdno pri nalaganju aplikacij iz spletne trgovine!
Zlonamerne aplikacije so bile nekaj časa dostopne tudi na trgovini Google Play Store. Zlonamerna aplikacija za svoje delovanje potrebuje pravice za uporabo storitev dostopnosti. Razvijalci aplikacij s tovrstnimi pravicami morajo za objavo svoje aplikacije v trgovini Play Store podati pojasnilo o uporabi pravic za dostopnost in pridobiti Googlovo dovoljenje. Napadalci so ta postopek opravili in po objavi prvotne neškodljive verzije objavili škodljivo posodobljeno verzijo. Posodobljena verzija aplikacije namreč služi kot dostavljalec zlonamerne programske opreme, ki na napravo prenese škodljiv tovor, ga odšifrira in naloži.
Primer dveh okuženih aplikacij, ki sta bili prisotni na trgovini Google Play (po podatkih Threatfabric)
Kako se zaščitim?
SI-CERT uporabnikom svetuje, da aplikacijam ne podeljujejo pravic za dostopnost, saj tako aplikacije pridobijo pravice za branje vsebine zaslona in izvajanje klikov brez uporabniške interakcije. Na ta način napadalci prevzamejo poln nadzor nad napravo.
Kako reagiram, če sem aplikacijo naložil?
Ko uporabnik enkrat zažene zlonamerno aplikacijo in ji dodeli pravice za dostopnost, do njenih nastavitev običajno ne more več dostopati, prav tako pa aplikacije ne more enostavno odstraniti. Uporabnikom, ki so škodljivo aplikacijo prenesli, jo odprli in ji dodelili pravice za dostopnost, svetujemo, da svojo napravo zaženejo v varnem načinu in aplikacijo odstranijo.
To storijo tako, da držijo tipko za izkop naprave, ki na zaslonu odpre meni z možnostmi za izklop naprave, kot pri običajnem postopku izklopa. Za zagon naprave v varnem načinu je nato potrebno na meniju prikaza držati ikono za izklop dokler naprava ne ponudi ponovnega zagona v varnem načinu, ki ga uporabnik izbere. V tem načinu se ob vklopu naprave zlonamerna aplikacija ne zažene in uporabnik jo lahko varno odstrani.
SI-CERT
SI-CERT