Trojan, Gmail i Android to nowa metoda ataku na konta bankowe. Przy pomocy złośliwej aplikacji dystrybuowane jest złośliwe oprogramowanie o nazwie ISFB, które nastawione jest głównie na atakowanie urządzeń użytkowników bankowości internetowej. Dodatkowe funkcje tego konia trojańskiego to m.in kradzież plików o określonych nazwach (np. *paszport*.jpg), tworzenie i przesyłanie zrzutów ekranów lub sekwencji wideo, udostępnianie połączenia VNC lub rejestrowanie naciskanych przez użytkownika klawiszy.
Kampania Ministerstwa Finansów miała miejsce miesiąc temu, jednak zainfekowane w niej komputery nadal są celem działań przestępców. Ataki zaczęły się 26. listopada 2016, a ich szczyt przypadał na 2. grudnia. Samo pobranie aplikacji jeszcze nie gwarantuje jej zainstalowania na urządzeniu, ponieważ wymagane jest mniej lub bardziej świadome zezwolenie przez użytkownika na instalację aplikacji z niezaufanego źródła (opcja domyślnie wyłączona w systemie Android). Złodzieje stosują nową metodę zachęcenia ofiar do zainfekowania smartfonów. Użytkownikowi, który zainfekował wcześniej swój komputer oprogramowaniem ISFB, wstrzykiwany jest do przeglądarki złośliwy kod. Dzieje się w to w momencie korzystania z poczty Gmail – przestępcy wykorzystują w ten sposób zaufanie użytkowników do dostawcy tej usługi. Oczom zainfekowanego użytkownika pokazuje się komunikat: W związku z podejrzaną aktywnością na Twoim koncie (np. używanie wielu adresów IP) wymagana jest instalacja naszej aplikacji Google Authenticator Code. Wyślemy ją na Twój numer telefonu.
Wkrótce po wysłaniu SMSa przeglądarka zainfekowanego użytkownika prosi go o wpisanie kodu wygenerowanego przez aplikację. To pozwala przestępcom na powiązanie pary zarażonego komputera oraz smartfona – wcześniej mogą nie wiedzieć, czy użytkownik faktycznie zainstalował i uruchomił aplikację. Gdy użytkownik nabierze się na komunikat przestępców i poda numer swojego telefonu, trafi on na serwer przestępców, którzy następnie wykorzystując bramkę SMS wyślą do niego wiadomość SMS nakłaniającą do instalacji złośliwej aplikacji na urządzeniu. Link podany w treści wiadomości SMS prowadzi na serwer w Mołdawii, który serwuje złośliwą aplikację AuthenticatorCode.apk podszywającą się pod aplikację firmy Google Authenticator. Aplikacja nie uaktywnia swojego złośliwego działania jeśli zostanie uruchomiona na urządzeniu które ma ustawienia wskazujące na użytkownika będącego rezydentem Rosji, Kazachstanu, Ukrainy, Białorusi, Azerbejdżanu, Kirgistanu, Mołdawii, Tadżykistanu, Turkmenistanu, Uzbekistanu i Stanów Zjednoczonych.
Pobrana i zainstalowana aplikacja może czytać, przekierowywać i wysyłać SMSy, wykradać dane z książki adresowej i przesyłać je na serwery przestępców a także wykonywać i przekierowywać połączenia telefoniczne. Po uruchomieniu złośliwej aplikacji proszeni jesteśmy o nadanie jej uprawnień administratora urządzenia, a co za tym idzie, przekazanie pełnej nad nim kontroli. Jako uzasadnienie do przyznania powyższych praw wyświetlany jest tekst licencji GNU GPL. Po uruchomieniu aplikacja zbiera informacje o urządzeniu i jego parametrach takich jak IMEI, model urządzenia, kraj, numer telefonu, operator, wersja systemu operacyjnego, listę zainstalowanych aplikacji i listę programów antywirusowych i wysyła te dane na serwer przestępcy “rejestrując” zarażone urządzenie na serwerze C&C.
Po zainstalowaniu i zgłoszeniu swojej gotowości do działania aplikacja oczekuje na komendy z serwera przestępców oraz wykonuje wbudowane akcje takie jak np. wyświetlenie okna nakłaniającego do podania danych wrażliwych które później wysyłane są do serwera przestępców. Jeśli użytkownik na zainfekowanym smartfonie uruchomi aplikację Google Play, to złośliwa aplikacja stosując technikę “overlay” pokaże użytkownikowi okno nakłaniając go do “weryfikacji swojego konta w Google” przez podanie danych teleadresowych oraz karty kredytowej. Złośliwa aplikacja potrafi blokować działanie programów antywirusowych.
Więcej na: http://www.mf.gov.pl.
