Škodlivá aplikace pro překládání textů ohrožuje klienty bank v Česku

4. 3. 2019 v sekci Článek

Celkem 50 % všech detekcí nebezpečné aplikace bylo zjištěno na zařízeních českých uživatelů. Ti čelí podobné hrozbě v krátké době již potřetí.

Analytici společnosti Eset upozorňují na další rizikovou aplikaci, která byla k dispozici v oficiálním obchodě Google Play. Nástroj pro překládání textů Word Translator byl pro uživatele hrozbou, která umožňovala útočníkům vzdálený přístup do bankovního účtu napadeného uživatele. Útočníci znovu cílíli především na klienty bank působících v České republice, kterým mohli zcizit přihlašovací údaje. Aplikace před odstraněním z obchodu Google Play měla více než 10 tisíc stažení.

Polovina všech detekcí společnosti Eset byla zaznamenána na zařízeních uživatelů v České republice, 40 % v Polsku a méně než 5 % v Itálii, Mexiku a Austrálii. Analytici společnosti ESET detekují hrozbu již při instalaci aplikace jako Trojan.Android/Spy.Banker.AKT. Z pohledu škodlivého kódu, který útočníci použili, jde prakticky o stejnou hrozbu, jakou byla aplikace QRecorder z loňského září nebo Blockers call 2019 z ledna tohoto roku.

Oficiální funkcí aplikace mělo být překládání textu. Podle Esetu byla původně legitimní aplikace v průběhu času tzv. ztrojanizována. To znamená, že se po některé z jejich aktualizací stal z aplikace World Translator tzv. trojský kůň, který útočníkům stáhnout do chytrého telefonu s operačním systémem Android nebezpečný obsah. Celý scénář je totožný s podvodnými aplikacemi QRecorder či Blockers call 2019.

Za posledních šest měsíců informují analytici o třetí takové hrozbě. Naplňují se tak předpoklady, že prvně detekovaný QRecorder byl pilotní kampaní útočníků. Nyní v drobných obměnách opakují totožný model. Škodlivý kód je zaměřen na bankovní aplikace největších bankovních domů působících na našem území a poměr detekcí toto cílení potvrzuje. Kromě toho je i v náhledu aplikace v Google Play zřetelně vidět český text. Neznamená to ale, že by útočník byl přímo z České republiky či z Polska, kam útočníci rovněž cílili. 

Z analýzy Esetu prozatím vyplynulo, že malware v telefonu čeká na zašifrovaný příkaz z C&C serveru útočníka, na základě kterého vykoná požadovanou aktivitu. V první fázi škodlivý kód zjišťuje, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné a nemusí jít pouze o bankovní aplikace. Následně je do telefonu stažen modul, který vytvoří neviditelnou vrstvu nad cílovou aplikací, například internetovým bankovnictvím, a snímá přihlašovací údaje uživatele.

Útočníci dále mají přístup do SMS zpráv, které jsou nejčastějším druhým ověřovacím faktorem při převodech peněz. Útočníkům tedy nic nebrání, aby si vzdáleně posílali peníze z účtu napadeného uživatele na cizí bankovní účty bez jeho vědomí.

Přestože Google Play je oficiálním aplikačním obchodem pro platformu Android, neznamená to garanci důvěryhodnosti všech zde umístěných aplikací. Kromě instalace bezpečnostního softwaru proto představuje jedinou cestu důsledná kontrola požadovaných oprávnění aplikace s ohledem na její primární a legitimní účel. A to nejen v průběhu instalace, po prvním spuštění, ale i kdykoliv v budoucnu.

Zdroj: Eset