Ovaj zlonamerni Adroid softver za krađu bankovnih podataka se ponovo javlja – i sada je čak i podliji

Zlonamerni trojanac BankBot sačeka dvadeset minuta nakon korišćenja aplikacije i zatim kreće da aktivira svoj teret.Jedan Android bankarski trojanac uspeo je po drugi put da se infiltrira u Googleovu zvaničnu prodavnicu Play Store i potencijalno zarazio na hiljade korisnika zlonamernim softverom za krađu finansijskih podataka pre nego što je ponovo izbačen.

Zlonamerni softver BankBot se prvi put pojavio u prodavnici Google Play ranije ove godine i krao bankarske informacije svojih žrtava prezentujući jedan prekrivni sloj koji je izgledao identičan sa stranom za prijavljivanje iz bankarske aplikacije. Zlonamerne aplikacije su uklonjene u aprilu, ali je BankBot još jednom otkriven u Play Store početkom septembra.

Otkriven od strane istraživača u ESET-u, zlonamerni softver je ovog puta sakriven u funkcionalnoj Android igrici pod nazivom „Jewels Star Classic“. Aplikacija se prvi put pojavila u prodavnici 26. avgusta pre nego što je ažuriranje 4. septembra podiglo alarm. Do trenutka kada je aplikacija uklonjena iz prodavnice 7. septembra, mogla je da bude preuzeta 5.000 puta.

Ova verzija BankBot-a je sofisticiranija od svog prethodnika, dodajući poboljšano uništavanje kodova, perfidniji način smanjivanja funkcionalnosti, a koristi Android-ovu uslugu dostupnosti na sličan način kao i drugi oblici zlonamernog softvera za mobilno bankarstvo.

Nakon preuzimanja, zlonamerna aplikacija čeka do 20 minuta nakon prvog korišćenja igrice pre nego što pokrene program za instaliranje trojanca BankBot. Moguće je da je ovo odlaganje jedan od faktora koji je aplikaciji pomogao da se infiltrira u prodavnicu Google Play.

Posle odlaganja od 20 minuta – i bez obzira na to koju aplikaciju koristi u to vreme – žrtvi se prikazuje upozorenje da omogući „Google Service“.

Kada korisnik aktivira ovo lažno obaveštenje Google-a, od njega se traži da zlonamernoj aplikaciji dodeli razne dozvole, uključujući: Observe user actions (praćenje akcija korisnika), Retrieve window content (preuzimanje sadržaja prozora), Turn on Explore by Touch (uključivanje istraživanja dodirom), Turn on enhanced web accessibility (uključivanje poboljšane veb pristupačnosti) i Perform gestures (izvršavanje pokreta). Davanjem dozvola za aplikaciju on daje BankBotu slobodan pristup za praćenje njegove aktivnosti i na kraju krađe njegovih podataka o banci. U međuvremenu, zlonamerni softver se pretvara da pokreće ažuriranje servisa dok čini sledeće korake za pokretanje trojanca i krađe bankarskih podataka.

Zaista, dok se izvršava ovo lažno ažuriranje, zlonamerni softver zapravo koristi svoje novoodobrene dozvole kako bi omogućio instaliranje aplikacija iz nepoznatih izvora, instaliranje BankBot-a i njegovo pokretanje, aktiviranje BankBot-a kao administratora uređaja, postavljanje BankBot-a kao podrazumevane aplikacije za razmenu SMS poruka i dobijanje dozvola za druge aplikacije.

Uz sve ovo u funkciji, BankBot je u mogućnosti da krade podatke o kreditnoj kartici žrtve – i to na mnogo efikasniji način u poređenju sa prethodnim verzijama zlonamernog softvera. Ranije je zlonamerni softver stizao sa listom bankarskih aplikacija koje je pokušavao da imitira, a sada se samo pretvara da je on Google Play – aplikacija koja je unapred instalirana na svakom Android uređaju.

Kada korisnik sledeći put učita Google Play, prikazuje mu se ekran koji traži broj njegove kreditne kartice. Ova lažni prekrivni sloj predaje njegove podatke pravo u ruke hakera koji mogu da koriste BankBotovu kontrolu nad porukama i zaobilaze dvostepenu autentifikaciju putem SMS-a na računu žrtve.

Mada je ova konkretna zlonamerna aplikacija uklonjena iz Play prodavnice, Google neprestano vodi borbu sa sajber kriminalcima koji pokušavaju da koriste zvanično Android tržište za distribuciju zlonamernog softvera.
Google štiti ogromnu većinu svojih 1,4 milijardi Android korisnika od zlonamernog softvera, ali zlonamerne aplikacije još uvek uspevaju da se ušunjaju u zvaničnu prodavnicu.

Da bi se zaštitili od instaliranja zlonamernih aplikacija, istraživači ESET-a preporučuju korisnicima da proveravaju popularnost aplikacije, čitaju ocene i preglede kako bi bili sigurni da stvarno preuzimaju ono što su nameravali.

Izvor: ZD Net

4568-xa-ovaj-zlonamerni-adroid-softver-za-kradu-bankovnih-podataka-se-ponovo-javlja-i-sada-je-cak-i-podliji-xa