Szpiegowanie zamiast bezpieczeństwa. CERT Polska ostrzega

Działania aktorów zagrożeń przeciwko internautom stały się codziennością; nie ma bowiem tygodnia, aby nie pojawiły się doniesienia dotyczące nowych operacji pojawiających się w sieci.

Na naszych łamach informowaliśmy w ostatnich miesiącach o wielu kampaniach wymierzonych w różne podmioty. Ataki kierowano zarówno przeciwko branży hotelarskiej, uczelniom czy gminom, a wykorzystywano w nich wizerunek m.in. Policji, Centralnego Biura Zwalczania Cyberprzestępczości czy banków.

To nie bank, to cyberprzestępcy

Pod koniec marca eksperci cyberbezpieczeństwa zidentyfikowali nowe działania wymierzone w polskich internautów. Jak wynika z analizy CERT Polska, kampania FvncBot, jak ją nazwano, podszywa się pod aplikacje mające wzmacniać bezpieczeństwo klientów banków.

Po zainstalowaniu aplikacji, która jest przedstawiona jako „Token U2F” Spółdzielczej Grupy Bankowej użytkownik proszony jest o zainstalowanie dodatkowego elementu o nazwie „Play Component”. Zidentyfikowano również odmiany wykorzystujące m.in. wizerunek Alior Banku i BNP Paribas.

Nazwa „komponentu”, jak również ikonka na podstronie z instrukcjami mają zwieść użytkownika, że instaluje element związany ze Sklepem Google Play. W rzeczywistości jednak konieczne jest zezwolenie na instalację nieznanych aplikacji z nieznanych źródeł, a następnie wyrażenie zgody na włączenie ułatwień dostępu.

Moduł (nie)bezpieczeństwa

Po wykonaniu podanych kroków, aplikacja „Token U2F” informuje o „prawidłowym działaniu wszystkich systemów”. Zespół CERT Polska zauważa, że wspomniany program pełni jedynie funkcję przynęty; to właśnie „Play Component” jest szkodliwym oprogramowaniem, realizującym cele założone przez cyberprzestępców.

Sam złośliwy moduł posiada kilka funkcji:

• RemoteAccessibilityService odczytuje otrzymane wiadomości zawierające instrukcje od aktorów zagrożeń, a następnie wykonuje je na zainfekowanym urządzeniu;
• kod modułu umożliwia atakującym monitorowanie tekstu, jaki pojawia się w edytowalnych polach oraz zapisuje wszystkie zedytowane wartości;
• sprawcy mogą również podglądać interfejs użytkownika za pośrednictwem pełnej reprezentacji wyświetlanego ekranu zawartej w specjalnym pliku JSON, a także przechwytywać ekran;
• komponent daje operatorowi możliwość wyświetlania adresów URL, zawartości HTML, a także nałożenia nakładki lub wygaszenia ekranu.

Aplikacje tylko z zaufanych źródeł

Zespół CERT Polska wskazuje, aby pobierać aplikacje bankowe wyłącznie z zaufanych sklepów takich jak Google Play czy App Store. Nie należy instalować programów, które mają być „komponentem bezpieczeństwa”, zwłaszcza jeżeli pochodzą spoza oficjalnego źródła; należy je traktować jako potencjalnie niebezpieczne. Jest to tym bardziej istotne, jeżeli taki obiekt prosi o zgodę na instalację obiektów z nieznanych źródeł.

Jedną z metod pozyskania aplikacji może być instrukcja od rzekomego konsultanta bankowego podczas połączenia przychodzącego, włącznie z informacją o potencjalnym zagrożeniu. W takiej sytuacji należy się rozłączyć i zadzwonić na oficjalną infolinię, której numer podany jest na prawdziwej stronie banku.