Strona główna

CERT Polska: nowe sposoby wyłudzania danych z telefonów

Fot. yusamoilov / Flickr
Fot. yusamoilov / Flickr

Zespół ekspertów CERT Polska opisał na swej stronie złośliwe oprogramowanie dla systemu Android o nazwie GMBot. Malware ten jest dystrybuowany głównie przez strony do oglądania filmów video.

CERT Polska w najnowszym komunikacie zamieszczonym na swej stronie poinformował o pojawieniu się nowej aplikacji, która służy do wyłudzania danych umożliwiających logowanie się do banków. Według ekspertów z CERT Polska, który jest zespołem działającym w strukturze NASK, jest to nic innego jak zwykły atak phishingowy, w działaniu dosyć podobny do znanej metody używania webinjectów w systemach z rodziny Windows. Zgodnie z przewidywaniami CERT Polska, używanie przesłonięcia aplikacji stało się całkiem popularne w złośliwych aplikacjach androidowych. W ciągu ostatniego półrocza powstało wiele wersji oprogramowania swoim działaniem przypominających GMBota. W każdym przypadku przesłonięcie dotyczyło wyłącznie aplikacji zainstalowanych na telefonie (aplikacje bankowe, komunikatory, e-mail). W zeszłym tygodniu, do laboratorium CERT Polska trafiła jednak próbka, która - jak czytamy na stronie www.cert.pl - oprócz przesłonięcia aplikacji bankowej stara się także wyłudzić dane dostępowe do banku z mobilnej przeglądarki internetowej.

Scenariusz działania

GMBot dystrybuowany jest głównie poprzez fałszywe strony służące do oglądania filmików. Najczęściej podszywa się pod Adobe Flash Player (ofiara musi ściągnąć aktualizacje, aby móc obejrzeć filmik) albo pod aplikację PornTube. Następnie program prosi o nadanie praw administratora, aby móc monitorować otwierane aplikacje oraz łączyć się z siecią Wi-Fi, gdy tylko jest to możliwe. Na samym początku GMBot rejestruje nowego bota w panelu wysyłając POST-a do serwera Command and Control (C&C). Serwer C&C - jak sama nazwa anglojęzyczna wskazuje - zarządza zainfekowanymi maszynami, monitoruje ich status i przesyła instrukcje do wykonania.

Nowy sposób wyłudzania danych – przeglądarki mobilne

Po rejestracji telefonu przez C&C, aplikacja monitoruje aktywne procesy. W momencie, gdy ofiara uruchomi jedną z aplikacji zawartych w pliku konfiguracyjnym, GMBot łączy się z serwerem, na którym znajdują się przygotowane okna logowania i przykrywa aplikację własnym oknem. W najnowszej wersji, GMBot obserwuje nie tylko aplikacje bankowe zawarte w pliku konfiguracyjnym, ale także historię przeglądanych stron (w tym przypadku standardowa przeglądarka androidowa oraz Google Chrome). Jeżeli ostatnio odwiedzaną przez nas witryną była strona banku, nad oknem przeglądarki zostaje wyświetlony formularz logowania.

Okna zostały przygotowane całkiem wiarygodnie. Górny pasek, który ma za zadanie utwierdzenie użytkownika, że znajduje się na stronie internetowej banku, jest oczywiście zwykłym obrazkiem z wklejonym adresem. Po wpisaniu loginu i hasła przez użytkownika okno automatycznie znika i użytkownik wraca do strony banku. Wszystkie przechwycone w ten sposób dane są przez złośliwą aplikację wysyłane do serwera C&C. Przebadana przez CERT Polska próbka posiadała plik konfiguracyjny uwzględniający 21 polskich serwisów bankowości elektronicznej, jednak obecnie nie znajdują się one już na liście atakowanych serwisów – informują eksperci z CERT Polska.

Możliwości aplikacji

Oprócz głównego zadania, czyli wykradania danych autoryzacyjnych, GMBot posiada wiele dodatkowych opcji:

  • przekierowywanie połączeń i smsów przychodzących na inne numery;

  • wykradanie danych karty kredytowej z Google Play;

  • wysyłanie pełnej historii przeglądarki na serwer zarządzający;

  • przesyłanie listy wszystkich aplikacji zainstalowanych na telefonie;

  • przesyłanie wszystkich SMS-ów na serwer zarządadzjący;

  • wysyłanie SMS-ów do ofiary mających zachęcić do zalogowania się na konto bankowe.

Wszystkie wykradzione dane wysyłane są z użyciem protokołu HTTP na serwer C&C kontrolowany przez przestępców.

Jak nie dać się zainfekować?

Aplikacja od ponad pół roku jest dosyć popularna, głównie w takich krajach jak Turcja, Kanada, Niemcy, Tajwan czy Australia. Zauważamy jednak coraz więcej infekcji telefonów polskich użytkowników. Szczęśliwie jak do tej pory, oprócz podstawowych informacji o telefonie, atakującym nie udaje się wyłudzić danych dostępowych polskich użytkowników bankowości elektronicznej.

Przestępcy ciągle pracują nad nowymi sposobami na pozyskanie danych klientów bankowości. Trzeba więc pozostać czujnym i zwracać dużą uwagę na to, co instalujemy na swoich smarfonach. Najlepszym sposobem na uniknięcie infekcji jest nieinstalowanie aplikacji z niezaufanych źródeł. Niestety, gdy padniemy ofiarą infekcji, jedynym sposobem na pozbycie się malware jest reset fabryczny telefonu lub usunięcie aplikacji przy pomocy ADB – jak radzi na swojej stronie zespół ekspertów CERT Polska.

Czytaj też: Jakie cyberzabezpieczenia stosują polskie banki?

 

Komentarze