Οι ερευνητές της ESET ανακάλυψαν ένα στέλεχος του κακόβουλου λογισμικού που επιτίθεται σε Android και το οποίο μπορεί να κλέψει τους κωδικούς σύνδεσης των χρηστών υπηρεσιών mobile banking.
Το κακόβουλο λογισμικό, που ανιχνεύεται από τα συστήματα ασφαλείας της ESET ως Android/Spy.Agent.SI, εμφανίζει στα θύματα μια πλαστή έκδοση της οθόνης σύνδεσης των τραπεζικών εφαρμογών και κλειδώνει την οθόνη μέχρι να εισαχθούν το όνομα χρήστη και ο κωδικός πρόσβασης. Χρησιμοποιώντας τα κλεμμένα δεδομένα σύνδεσης, οι κυβερνοεγκληματίες μπορούν στη συνέχεια να συνδεθούν στο λογαριασμό του θύματος από απόσταση και να μεταφέρουν χρήματα. Μπορούν επίσης να χρησιμοποιήσουν το κακόβουλο λογισμικό για να στείλουν όλα τα μηνύματα κειμένου SMS που έχουν ληφθεί στη μολυσμένη συσκευή, καθώς και να τα αφαιρέσουν.
«Αυτό επιτρέπει την παράκαμψη της πιστοποίησης διπλού παράγοντα που χρησιμοποιεί SMS για να ανιχνεύει παράνομες συναλλαγές, χωρίς να υποψιαστεί οτιδήποτε ο ιδιοκτήτης της συσκευής» εξηγεί ο Lukáš Štefanko, Ερευνητής Malware της ESET με εξειδίκευση σε θέματα κακόβουλου λογισμικού σε Android.
Το Trojan εξαπλώνεται ως απομίμηση της εφαρμογής Flash Player. Μετά την λήψη και εγκατάσταση, η εφαρμογή ζητά πρόσβαση στα δικαιώματα διαχείρισης της συσκευής, για να προστατευθεί από την εύκολη απεγκατάστασή της από τη συσκευή. Έπειτα, το κακόβουλο λογισμικό ελέγχει εάν είναι εγκατεστημένες στη συσκευή τραπεζικές εφαρμογές που θα μπορούσε να στοχεύσει, και, αν ναι, λαμβάνει ψεύτικες οθόνες σύνδεσης για κάθε τραπεζική εφαρμογή από τον command & control server. Στη συνέχεια, μόλις το θύμα χρησιμοποιήσει μια τραπεζική εφαρμογή, εμφανίζεται μία ψεύτικη οθόνη σύνδεσης πάνω από την κορυφή της νόμιμης εφαρμογής, αφήνοντας την οθόνη κλειδωμένη μέχρι το θύμα να υποβάλει τα στοιχεία σύνδεσης.
Το malware εξελίσσεται συνεχώς. Ενώ οι πρώτες εκδόσεις του ήταν απλές και ο κακόβουλος σκοπός αναγνωριζόταν εύκολα, οι πιο πρόσφατες εκδοχές είναι πιο πολύπλοκες και εμφανίζουν καλύτερη κρυπτογράφηση.
Η εκστρατεία, που ανακαλύφθηκε από τους ερευνητές της ESET, στοχεύει μεγάλες τράπεζες στην Αυστραλία, τη Νέα Ζηλανδία και την Τουρκία. Στην πραγματικότητα, τα 20 χρηματοπιστωτικά ιδρύματα που έχει στοχεύσει μέχρι σήμερα η εφαρμογή αποτελούν τις μεγαλύτερες τράπεζες σε κάθε μία από τις τρεις χώρες.
«Η επίθεση ήταν μαζική και μπορεί εύκολα να επικεντρωθεί ξανά σε οποιοδήποτε άλλο σύνολο τραπεζών», προειδοποιεί ο Lukáš Štefanko.
Περισσότερες λεπτομέρειες για την εκστρατεία, το κακόβουλο λογισμικό που χρησιμοποιείται και, κυρίως, πώς μπορούν οι χρήστες να αφαιρέσουν αυτή την κακόβουλη εφαρμογή από τις συσκευές βρίσκονται στη σχετική ανάλυση του Lukáš Štefanko στο επίσημο blog για την IT ασφάλειας της ESET, το WeLiveSecurity.com.
