Aplikace se tváří, že ji vyvinula mBank. Přes OS Android pak ovládne telefon a vykrade účet na nulu
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Nová bezpečnostní aplikace, maskující se jako údajný bezpečnostní nástroj od mBank, umí zneužít Androidy. Dokáže totiž ovládnout celé zařízení a potichu vybílit bankovní účet.
Nová bezpečnostní aplikace od „mBank“ působí na první pohled jako legitimní pomocník pro bezpečnější mobilní bankovnictví. Už po instalaci je ale jasné, že jde o jednu z nejnebezpečnějších hrozeb. Redakce Mobify zaznamenala, že malware zvaný FvncBot dokáže kompletně převzít kontrolu nad telefonem, sbírat hesla, otevírat falešná okna a vybrat účet do poslední koruny.
Škodlivá aplikace se tváří, že je od mBank
Když je nějaká aplikace prezentována jako nástroj od známé banky, lidé o ní zpravidla nepochybují. A o tom přesně je nový malware nazvaný FvncBot. Program je originální, nejde o kopii starších virů, a vystupuje jako bezpečnostní rozšíření od mBank, které má údajně chránit přihlašování do mobilního bankovnictví.
Z jediného upozornění na „doporučenou aktualizaci zabezpečení“ se tak velmi rychle stane průšvih, který útočníkům otevře cestu. Aplikace se po spuštění tváří profesionálně, vyžádá si oprávnění a nabídne instalaci dalšího komponentu. Prezentuje ho jako software z Google Play, ale ve skutečnosti tak dojde k implementaci malwaru.
FvncBot funguje jako multifunkční nástroj pro vzdálené ovládání telefonu. Prakticky to funguje tak, jako kdyby se vám někdo při používání telefonu díval přes rameno a pozoroval, co přesně děláte. Jenže ještě hůř – může za vás klikat, potvrzovat třeba transakce, brát si důležité kódy a další věci. Dokáže:
- Číst vše, co uživatel píše (keylogging)
- Přesměrovat obrazovku útočníkovi v reálném čase
- Zobrazovat falešná okna přes aplikace bank
- Sbírat seznam nainstalovaných aplikací
- Manipulovat s rozhraním telefonu bez vědomí oběti
- Obejít bezpečnostní omezení novějších verzí Androidu
Není doposud úplně jasné, jak přesně se malware šíří. Dle našich zkušeností to může být skrz podvodné zprávy, falešné stránky Google Play, neoficiální obchody s aplikacemi nebo reklamy na sociálních sítích. Stačí nejspíše kliknout na nebezpečný odkaz.
Útoky na kryptoměny a ClayRat, který se sám učí
Spolu s FvncBotem se objevila i druhá hrozba, a to tzv. SeedSnatcher. Ten se zaměřuje na krádež obnovovacích frází z kryptoměnových peněženek, což je to nejdůležitější, co ve světě kryptoměn máte, prakticky je to klíč, vysvětluje GoldenGate. Navíc umí číst příchozí SMS, včetně 2FA kódů. To umožňuje kompletní převzetí účtů.
Podle analýzy bezpečnostních společností má část infrastruktury a instrukcí původ v Číně, kde se podobné útoky šíří delší dobu, uvedl theHackerNews.
Do třetice nasadili hackeři navíc novou verzi malwaru ClayRat. Ten kombinuje techniky obou předchozích hrozeb, od posílání SMS až po skrytá překrývající okna. Nová verze tak dokáže zařízení odemknout, obejít varování a dlouhodobě držet kontrolu nad telefonem bez toho, aby si uživatel čehokoli všiml.
Je proto velice důležité držet se základní pravidel. Neklikat na žádné cizí odkazy, ideálně neinstalovat nic z neoficiálních stránek, číst si recenze, ověřovat veškeré své kroky a podivné informace.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky GoldenGate, Oficiální stránky theHackerNews