Appok, melyek banki adatok lopásával ütötték el az időt

​Több mint 300 ezer androidos mobil készülék fertőződhetett meg banki károkozásokra alkalmas appokkal a Play webáruházon keresztül.
 

A Google folyamatosan fejleszti a Play áruháza mögött meghúzódó védelmi arzenálját, és rendszeresen szigorítja az alkalmazásokkal kapcsolatos követelményeit annak érdekében, hogy lehetőleg még azelőtt sikerüljön kiszűrni a nemkívánatos appokat, mielőtt azok kikerülnének az áruházba. Sajnos a kiberbűnözők időről ideőre bebizonyítják, hogy ez a védelem sem áthatolhatatlan.
 
A ThreatFabric biztonsági szakértői jó ideje kísérik figyelemmel a Google Playen közzétett alkalmazásokat, amelyeket rendszeres elemzéseknek vetnek alá. E vizsgálatok során derítettek fényt olyan alvilági kampányokra, amik során számos kártékony alkalmazás került ki a hivatalos áruházba. Ez ugyan nem szokatlan jelenség, de a vírusterjesztők ezúttal igencsak kifinomult és alaposan kidolgozott módon hajtották végre a nemkívánatos tevékenységüket. Ezáltal hónapokon keresztül tudták észrevétlenül terjeszteni a mobilvírusaikat.
 
A szóban forgó támadások mögött meghúzódó kiberbandának elsősorban az volt a célja, hogy minél több bizalmas adatot kaparintson meg a kompromittált eszközökről. Különösen nagy hangsúlyt fektetett személyes adatok, hitelesítési információk és banki, pénzügyi adatok kiszivárogtatására. Az adatlopás szempontjából olyan szolgáltatások, illetve szervezetek alkalmazásai által kezelt adatok kerültek célkeresztbe, mint amilyen például a Gmail, a Citibank, a HSBC, a Coinbase, a Kraken, a Binance, a Zelle és a TrustWallet.
 
A támadások során alapvetően négy különböző kártékony kód jutott szerephez: Alien, Hydra, Ermac és Anatsa. Ezen mobilvírusokat több mint egy tucat különféle alkalmazásban lehetett kimutatni, amelyeket összesen több mint 300 ezer alkalommal töltöttek le a felhasználók. A problémás appok a következők:

• Two Factor Authenticator
• Protection Guard
• QR CreatorScanner
• Master Scanner
• QR Scanner 2021
• QR Scanner
• PDF Document Scanner - Scan to PDF
• PDF Document Scanner
• PDF Document Scanner Free
• CryptoTracker
• Gym and Fitness Trainer
• Master Scanner Live
• Gym and Fitness Trainer
• PDF AI: TEXT RECOGNIZER
• QR CreatorScanner

 
A fentiekből látható, hogy a fertőzött alkalmazások között fitness, dokumentumkezelő és QR-kód olvasó szoftverek is megtalálhatók. Ezek fejlesztői mindent elkövettek annak érdekében, hogy a szerzeményeik ki tudják kerülni a hivatalos áruház védelmét, és ott minél tovább tudjanak megjelenni. Ezért az alkalmazásaik többnyire alkalmasak voltak a leírásaikban szereplő funkciók ellátására, miközben a kártokozásokhoz használt kódokat a háttérben, részletekben töltötték le a vezérlőszerverekről. A csalók a "marketingre" is ügyeltek, hiszen az alkalmazásaikhoz gondosan összeállított weboldalakat is készítettek.
 
A fertőzött appok olyan módon igyekeztek adatokhoz juttatni a terjesztőiket, hogy a célkeresztbe állított alkalmazásokat elfedték, így a felhasználó nem az eredeti, hanem egy meghamisított felületen adta meg az adatait, amiket aztán a mobilvírusok feltöltöttek a támadók szervereire.
 
A Google a fenti alkalmazásokat már eltávolította a Play áruházból. Azonban, ha valaki korábban már telepítette e szoftvereket, akkor azokat célszerű minél gyorsabban törölni a készülékekről.