Naposledy před čtrnácti dny zaútočila zatím neznámá skupina podvodníků na bankovní účty českých uživatelů. Obětí se tentokrát stali ti, co s z oficiálního obchodu Googlu stáhli nakaženou aktualizaci aplikace pro překládání z jednoho jazyka do druhého.
Původně neškodná aplikace se po aktualizaci proměnila ve špionážní software, který útočníkům předal přístupová hesla do mobilního bankovnictví napadených lidí. Byl to již třetí útok zaměřený primárně na uživatele v České republice od září 2018.
V září 2018 se v obchodě s aplikacemi společnosti Google naposledy objevila aplikace QRecorder - o útoku jsme vás informovali zde. Než ji Google z obchodu vymazal, stačilo si ji jen v České republice stáhnout přes 10 000 uživatelů. Prográmek sloužil k nahrávání hovorů a v tomto ohledu fungoval zcela bezproblémově.
Pak však přišla poslední aktualizace a s ní pro pozorného uživatele i neobvyklá žádost o práva na přístup k usnadňujícím nastavením (pro slabozraké, neslyšící, atd.) a přístup ke zprávám. Předtím nic takového aplikace nechtěla a ani nyní nebyl logický důvod, aby tuto funkcionalitu vyžadovala. Respektive, určitě ne z pohledu uživatele.
Z pohledu autorů však uvedené změny měly význam zcela zásadní. Aplikace díky nim mohla prohledat mobilní telefon oběti a v případě, že objevila jednu z aplikací pro mobilní bankovnictví, podvrhla její přihlašovací stránku. Oběť se pak místo do banky přihlásila nejprve útočníkům. Ti díky tomu mohli převzít iniciativu a obejít i dvoustupňovou autentifikaci, protože měli přístup k SMS zprávám z banky.
Na problém přišla společnost Eset díky upozornění jedné z českých bank, jejíž klient měl podezření na nestandardní chování aplikace a následné neautorizované pohyby na účtu. Konkrétní aplikaci pak odhalili u klientů využívajících jejich mobilní bezpečnostní aplikaci.
Zasažena přitom byla naprostá většina velkých českých bank s jednou výjimkou - z důvodu probíhajícího vyšetřování zde nesmíme být konkrétní.
Útočníci například zkoušeli, jak mají jednotlivé oběti nastavené limity na výběr hotovosti. Na nově zřízený účet si pak nechali převést maximálně možný objem peněz ze všech napadených účtů a naráz pak finance z banky (pravděpodobně přes bílého koně) vybrali.
Utržili celkem přes 100 000 eur (přes 2,5 milionu korun). Pro bankovní domy to nemusel být velký problém a uživatelé pravděpodobně dostali své peníze zpět. Jenže útočníci si na tomto prvním případu ověřili, že tuzemští uživatelé telefonů s Androidem jsou zranitelní a zaútočili znovu.
A ukázalo se, že ekonomicky nezanedbatelná část z nich je nepoučitelná. Opakoval se stejný scénář. Nejprve neškodnou aplikaci po dosažení potřebného množství stažení později „obohatila“ nakažená aktualizace. Tentokrát kasírovala aplikace pro blokování hovorů. ¨
Doposud odhalené nakažené aplikace už v Google Play pochopitelně nenajdete. Otázka je, kolik dalších už je v obchodě připraveno na zákeřnou aktualizaci.
Jako poslední zatím útočil v únoru překladač World Translator (žádný z nakažených programů už na Google Play nenajdete). Opět vše proběhlo stejným způsobem. Útoky do Česka podle expertů z Esetu směřovaly z východu. Uživatelů s operačním systémem iOS se i díky důkladnější kontrole aplikací na straně Applu tento problém netýkal.
Další podrobnosti o útocích i rady, jak se bránit, se dozvíte na přiloženém videu s Lukášem Štefankem z výzkumného týmu společnosti Eset zaměřeného právě na boj s malwarem.
