Bankarski malver BankBot ponovo u Googleovoj Play prodavnici

Mobilni telefoni, 21.11.2017, 10:00 AM

Uprkos naporima Googlea da spreči infiltraciju malvera u svoju Play prodavnicu, maliciozne aplikacije uspevaju da prevare zaštitne mehanizme prodavnice i inficiraju uređaje.

Stručnjaci iz nekoliko firmi primetili su dve nove kampanje širenja malvera preko Play prodavnice. U okviru jedne od njih širi se nova verzija BanBota, malvera koji imitira postojeće aplikacije banaka, da bi ukrao podatke sa kojima se korisnici prijavljuju na svoje naloge.

BankBot je dizajniran da prikazuje prozore koji prekrivaju legitimne aplikacije velikih banaka, među kojima su Citibank, Wells Fargo, Chase Bank i druge, i tako krade osetljive informacije, lozinke korisnika i podatke sa njihovih kreditnih kartica.

Osim toga, BankBot je osposobljen da obavlja različite zadatke, kao što su slanje i presretanje SMS poruka, obavljanje poziva, praćenje inficiranih uređaja i krađa kontakata.

Google je ranije ove godine uklonio bar četiri verzije ovog trojanca iz Play prodavnice, ali je BankBot uvek nalazio načine da ponovo uđe u Play prodavnicu i napada korisnike banaka širom sveta.

Drugu kampanju u okviru koje se širi ne samo BankBot, već i malveri Mazar i RedAlert primetili su stručnjaci iz kompanije ESET koji su ovu kampanju analizirali na kompanijskom blogu.

BankBotom su se bavili i stručnjaci Avasta, koji su zajedno sa kolegama iz ESET-a i SfyLabsa, upozorili na najnoviju verziju BankBota koja se krije u Android aplikacijama koje su predstavljene kao bezazlene aplikacije koje imaju funkciju baterijske lampe.

Ove aplikacije, koje su prvi put primećene 13. oktobra, koriste posebne taktike da bi izbegle Googleove automatske provere. Jedna od taktika podrazumeva da malver počinje sa svojim aktivnostima tek dva sata pošto maliciozna aplikacija dobije administratorska prava. Druga taktika podrazumeva da se aplikacije objavljuju pod različitim imenima programera.

Kada ih korisnici preuzmu, ove maliciozne aplikacije proveravaju koje su aplikacije instalirane na uređaju tražeći one koje se nalaze na hardkodovanoj listi malvera na kojoj je 160 mobilnih aplikacija banaka.

Ako pronađe jednu ili više takvih aplikacija, malver preuzima i instalira BankBot APK sa svog komandno-kontrolnog servera, i pokušava da prevari žrtvu da mu odobri administratorska prava, pretvarajući se da je Play Store ili sistemsko ažuriranje, koristeći sličnu ikonu ili naziv.

Kada dobije administratorske privilegije, BankBot prikazuje prozor preko legitimnih aplikacija koje su na njegovom spisku, kad god ih žrtve pokrenu, i krade sve što žrtva ukucava u jednu takvu aplikaciju.

Stručnjaci iz Avasta su objavili video koji prikazuje kako malver vrlo brzo kreira prozor kojim prekriva aplikaciju banke u koju će žrtva uneti podatke koji se šalju kriminalcima.

S obzirom da mnoge banke koriste dvofaktornu autentifikaciju za bezbedne transakcije, BankBot ima funkcionalnost koja mu omogućava da presreće SMS poruke, što omogućava kriminalcima koji stoje iza BankBota da ukradu mTAN (mobile transaction number) koji se šalje na broj žrtve. Tako kriminalci mogu da prebace novac sa računa žrtve na svoje račune.

Treba napomenuti i ovo: Android ima mehanizam koji sprečava instalaciju aplikacija koje se ne nalaze u Play prodavnici. Čak i da korisnik odobri instalaciju aplikacija iz nepoznatih izvora, Google zahteva da korisnik pritisne dugme da bi se instalacija nastavila.

“Za razliku od novijih verzija BankBota, dropperi iz ranijih kampanja su bili daleko sofisticiraniji”, kažu stručnjaci iz Avasta. “Oni su primenjivali tehniku kao što je ona sa klikovima u pozadini preko Accessibility Servicea da bi omogućili instalaciju iz nepoznatih izvora.”

Najnovija verzija BankBota ne koristi Accessibility Service funkciju jer Google od nedavno blokira tu funkciju za sve aplikacije osim za one koje su dizajnirane za pružanje usluga slepima.

Google je već uklonio sve aplikacije inficirane BankBotom.

Najbolji način da se zaštitite je oprez prilikom preuzimanja aplikacija, čak i ako ih preuzimate iz Play prodavnice. Uvek obratite pažnju na dozvole koje aplikacije traže i ocene korisnika koji su ih već instalirali.

Iako je u ovom slučaju BankBot instaliran iz Play prodavnice, njegov payload je bio preuziman iz eksternog izvora. Zato proverite da li vam je u podešavanjima uređaja, u delu sa opcijama koje se odnose na bezbednost uređaja, isključena opcija "Allow installation of apps from sources other than the Play Store".

Pazite kojim aplikacijama dajete administratorska prava, jer su ona veoma moćna i mogu dati aplikaciji potpunu kontrolu nad uređajem.