Bankarski malver BankBot ponovo u Googleovoj Play prodavnici

Mobilni telefoni, 21.11.2017, 10:00 AM

Bankarski malver BankBot ponovo u Googleovoj Play prodavnici

Uprkos naporima Googlea da spreči infiltraciju malvera u svoju Play prodavnicu, maliciozne aplikacije uspevaju da prevare zaštitne mehanizme prodavnice i inficiraju uređaje.

Stručnjaci iz nekoliko firmi primetili su dve nove kampanje širenja malvera preko Play prodavnice. U okviru jedne od njih širi se nova verzija BanBota, malvera koji imitira postojeće aplikacije banaka, da bi ukrao podatke sa kojima se korisnici prijavljuju na svoje naloge.

BankBot je dizajniran da prikazuje prozore koji prekrivaju legitimne aplikacije velikih banaka, među kojima su Citibank, Wells Fargo, Chase Bank i druge, i tako krade osetljive informacije, lozinke korisnika i podatke sa njihovih kreditnih kartica.

Osim toga, BankBot je osposobljen da obavlja različite zadatke, kao što su slanje i presretanje SMS poruka, obavljanje poziva, praćenje inficiranih uređaja i krađa kontakata.

Google je ranije ove godine uklonio bar četiri verzije ovog trojanca iz Play prodavnice, ali je BankBot uvek nalazio načine da ponovo uđe u Play prodavnicu i napada korisnike banaka širom sveta.

Drugu kampanju u okviru koje se širi ne samo BankBot, već i malveri Mazar i RedAlert primetili su stručnjaci iz kompanije ESET koji su ovu kampanju analizirali na kompanijskom blogu.

BankBotom su se bavili i stručnjaci Avasta, koji su zajedno sa kolegama iz ESET-a i SfyLabsa, upozorili na najnoviju verziju BankBota koja se krije u Android aplikacijama koje su predstavljene kao bezazlene aplikacije koje imaju funkciju baterijske lampe.

Ove aplikacije, koje su prvi put primećene 13. oktobra, koriste posebne taktike da bi izbegle Googleove automatske provere. Jedna od taktika podrazumeva da malver počinje sa svojim aktivnostima tek dva sata pošto maliciozna aplikacija dobije administratorska prava. Druga taktika podrazumeva da se aplikacije objavljuju pod različitim imenima programera.

Kada ih korisnici preuzmu, ove maliciozne aplikacije proveravaju koje su aplikacije instalirane na uređaju tražeći one koje se nalaze na hardkodovanoj listi malvera na kojoj je 160 mobilnih aplikacija banaka.

Ako pronađe jednu ili više takvih aplikacija, malver preuzima i instalira BankBot APK sa svog komandno-kontrolnog servera, i pokušava da prevari žrtvu da mu odobri administratorska prava, pretvarajući se da je Play Store ili sistemsko ažuriranje, koristeći sličnu ikonu ili naziv.

Kada dobije administratorske privilegije, BankBot prikazuje prozor preko legitimnih aplikacija koje su na njegovom spisku, kad god ih žrtve pokrenu, i krade sve što žrtva ukucava u jednu takvu aplikaciju.

Stručnjaci iz Avasta su objavili video koji prikazuje kako malver vrlo brzo kreira prozor kojim prekriva aplikaciju banke u koju će žrtva uneti podatke koji se šalju kriminalcima.

S obzirom da mnoge banke koriste dvofaktornu autentifikaciju za bezbedne transakcije, BankBot ima funkcionalnost koja mu omogućava da presreće SMS poruke, što omogućava kriminalcima koji stoje iza BankBota da ukradu mTAN (mobile transaction number) koji se šalje na broj žrtve. Tako kriminalci mogu da prebace novac sa računa žrtve na svoje račune.

Treba napomenuti i ovo: Android ima mehanizam koji sprečava instalaciju aplikacija koje se ne nalaze u Play prodavnici. Čak i da korisnik odobri instalaciju aplikacija iz nepoznatih izvora, Google zahteva da korisnik pritisne dugme da bi se instalacija nastavila.

“Za razliku od novijih verzija BankBota, dropperi iz ranijih kampanja su bili daleko sofisticiraniji”, kažu stručnjaci iz Avasta. “Oni su primenjivali tehniku kao što je ona sa klikovima u pozadini preko Accessibility Servicea da bi omogućili instalaciju iz nepoznatih izvora.”

Najnovija verzija BankBota ne koristi Accessibility Service funkciju jer Google od nedavno blokira tu funkciju za sve aplikacije osim za one koje su dizajnirane za pružanje usluga slepima.

Google je već uklonio sve aplikacije inficirane BankBotom.

Najbolji način da se zaštitite je oprez prilikom preuzimanja aplikacija, čak i ako ih preuzimate iz Play prodavnice. Uvek obratite pažnju na dozvole koje aplikacije traže i ocene korisnika koji su ih već instalirali.

Iako je u ovom slučaju BankBot instaliran iz Play prodavnice, njegov payload je bio preuziman iz eksternog izvora. Zato proverite da li vam je u podešavanjima uređaja, u delu sa opcijama koje se odnose na bezbednost uređaja, isključena opcija "Allow installation of apps from sources other than the Play Store".

Pazite kojim aplikacijama dajete administratorska prava, jer su ona veoma moćna i mogu dati aplikaciji potpunu kontrolu nad uređajem.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje

Novi Android malver Crocodilus se širi u sve više zemalja

Novi Android malver Crocodilus se širi u sve više zemalja

Sve je više sajber napada u kojima se koristi novi Android bankarski trojanac pod nazivom Crocodilus, a mete napada su pre svega korisnici u Evropi i... Dalje