Ďalší malware kradol údaje z bankových aplikácií, našťastie sa ho ale podarilo pomerne skoro zachytiť

Ďalšia aplikácia v Obchod Play bola infikovaná. Tentokrát za tým stál trójsky kôň, ktorý cielil na prihlasovacie údaje bankových aplikácií.

Android Malware
Zdroj: Gerd Altmann, Pete Linforth a martaposemuckel z Pixabay

Zdá sa, že prípady ohľadom nájdenia škodlivého programu vnútri aplikácie z Obchodu Play nikdy neprestanú pribúdať. Svedčí o tom aj posledný nález bezpečnostných analytikov zo Zscaler. Tento tím našiel prítomnosť bankového trójskeho koňa v aplikácii v Obchode Play. Na problém upozornili na svojom webe.

Zachytenie v skorej fáze

Nie je žiadnym tajomstvom, že škodlivé kódy útočníci radi schovávajú do užitočných aplikácií, ktoré vedia byť populárne v širokom spektre používateľov. Bolo tomu tak aj v tomto prípade. Malware bol totiž vložený v aplikácii Todo: Day manager, ktorá mala slúžiť ako taký plánovač či zoznam pripomienok. Aplikácia ale bola infikovaná malwarom Xenomorph. Oproti ostatným podobným prípadom sa tento podarilo zachytiť pomerne skoro. Aplikácia totiž mala iba niečo cez 1 000 stiahnutí, čo je stále dosť, no rozhodne sa to nedá porovnať s prípadmi, kedy mali aplikácie miliónové stiahnutia.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Čo sa týka trójskeho koňa Xenomorph , tak ide o škodlivý kód, ktorého cieľom je krádež prihlasovacích údajov z bankových aplikácií v zariadení obete. Okrem iného je Xenomorph schopný čítať SMS správy a upozornenia, ktoré fungujú ako dvojfaktorové overenie. Útočník tak prakticky získa kompletnú kontrolu nad bankovým účtom obete.

Proces inštalácie trójskeho koňa

Analýza Zscaler prišla aj na kompletný proces inštalácie škodlivého kódu. Ten totiž nemohol byť nasadený priamo v oficiálnej aplikácii, pretože by na to zabezpečovací systém Obchodu Play sa najväčšou pravdepodobnosťou prišiel. Samotná aplikácia tak bola čistá. Po nainštalovaní ale aplikácia kontaktuje server Firebase, odkiaľ získa odkaz na repozitár Github, kde si ukladajú kódy programátori z celého sveta.

Android Malware
Zdroj: flickr.com (Blogtrepreneur)

Z tohto repozitára bol následne stiahnutý Xenomorph, údajne zamaskovaný ako nejaká služba od Googlu. Po kliknutí na inštalovať si Xenomorph vyžiada potrebné povolenia a ak mu ich používateľ udelí, tak už nie je cesty späť. Xenomorph sa totiž pridá ako správa zariadenia a zamedzí svojej deaktivácii. Postup získania kontroly je pritom veľmi podobný malwaru Coper, s ktorým mal Google Play problémy aj v minulosti.

Následne Xenomorph vytvára prekrytia legitímnych bankových aplikácií, čím oklame používateľa k zadaniu prihlasovacích informácií. V spolupráci s čítaním SMS správ tak prakticky získa kompletnú kontrolu nad bankovým účtom obete.

Dávajte si pozor, čo potvrdzujete

Pri (nielen) takýchto prípadoch, kedy sťahujete aplikácie z oficiálneho obchodu si treba dávať obzvlášť pozor na to, aké povolenia aplikácii udeľujete. Aplikácia na zobrazovanie pripomienok určite potrebuje isté povolenia ako zobrazovanie obsahu v notifikačnej lište či prístup ku kalendáru. Ak ale akákoľvek aplikácia požaduje kontrolu nad zariadením, tak určite zbystrite pozornosť a aplikáciu vymažte.

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre