Překladač textů krade peníze z českých bank

Bezpečnostní analytici společnosti Eset upozorňují na další rizikovou aplikaci, která byla k dispozici v oficiálním obchodě Google Play. Nástroj pro překládání textů Word Translator byl pro uživatele hrozbou, která umožňovala útočníkům vzdálený přístup do bankovního účtu napadeného uživatele.

Překladač textů krade peníze z českých bank


Útočníci znovu cílí především na klienty bank působících v České republice, kterým mohli zcizit přihlašovací údaje. Díky rychlé a koordinované aktivitě společnosti Eset a bankovních domů došlo k rychlé detekci a nastavení účinných opatření. Aplikace před odstraněním z obchodu Google Play měla více než 10 tisíc stažení.

Polovina všech detekcí společnosti Eset byla zaznamenána na zařízeních uživatelů v České republice, 40 % v Polsku a méně než 5 % v Itálii, Mexiku a Austrálii. Analytici společnosti Eset detekují hrozbu již při instalaci aplikace jako Trojan.Android/Spy.Banker.AKT. Z pohledu škodlivého kódu, který útočníci použili, se jedná o prakticky stejnou hrozbu, jakou byla aplikace QRecorder z loňského září nebo Blockers call 2019 z ledna tohoto roku.

„Podařilo se nám zachytit nástroj, jehož oficiální funkcí mělo být překládání textu. Na základě naší interní analýzy můžeme říci, že původně legitimní aplikace byla v průběhu času opět tzv. ztrojanizována. To znamená, že se po některé z jejich aktualizací stal z aplikace World Translator tzv. trojský kůň,“ říká Miroslav Dvořák, technický ředitel české pobočky společnosti Eset. „Onen tzv. trojský kůň umožňuje útočníkům stáhnout do chytrého telefonu s operačním systémem Android nebezpečný obsah, což se také dělo. Celý scénář je totožný s podvodnou aplikací QRecorder či Blockers call 2019,“ dodává Dvořák.

Za posledních šest měsíců informují analytici společnosti Eset o třetí takové hrozbě. Naplňují se tak předpoklady, že prvně detekovaný QRecorder byl pilotní kampaní útočníků. Nyní v drobných obměnách opakují totožný model.

„Útočníci v tomto případě cílí především na uživatele z České republiky. Škodlivý kód je zaměřen na bankovní aplikace největších bankovních domů působících na našem území a poměr detekcí toto cílení potvrzuje. Kromě toho je i v náhledu aplikace v Google Play zřetelně vidět český text,“ vysvětluje Lukáš Štefanko, bezpečnostní analytik společnosti Eset. „Neznamená to ale, že by útočník byl přímo z České republiky či z Polska, kam útočníci rovněž cílili. S určitostí prozatím můžeme říci pouze to, že se stále opakuje stejný scénář, který jsme ale schopni okamžitě detekovat a ve spolupráci s bankovními domy zajistit ochranu uživatelů a jejich finančních prostředků,“ dodává Štefanko.

Z analýzy bezpečnostních specialistů společnosti Eset, která stále probíhá, prozatím vyplynulo, že malware v telefonu čeká na zašifrovaný příkaz z tzv. C&C serveru útočníka, na základě kterého vykoná požadovanou aktivitu.

V první fázi škodlivý kód zjišťuje, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné a nemusí jít pouze o bankovní aplikace. Následně je do telefonu stažen modul, který vytvoří neviditelnou vrstvu nad cílovou aplikací, například internetovým bankovnictvím, a snímá přihlašovací údaje uživatele.

Útočníci dále mají přístup do SMS zpráv, které jsou nejčastějším druhým ověřovacím faktorem při převodech peněz. Útočníkům tedy nic nebrání, aby si vzdáleně posílali peníze z účtu napadeného uživatele na cizí bankovní účty bez jeho vědomí.

Úvodní foto: © bicubic - Fotolia.com










Komentáře