W nieoficjalnym sklepie z aplikacjami pojawiło się narzędzie do rzekomej optymalizacji baterii w telefonie, które potrafi obejść dwuskładniowe uwierzytelnianie i wyczyścić konto PayPal nieostrożnego użytkownika. Jak informuje Lukas Stefanko, analityk zagrożeń w ESET, który odkrył zagrożenie, jest ono w stanie, w ciągu 5 sekund, przelać z rachunku ofiary tysiąc euro na rachunek cyberprzestępcy. Aplikacja odpowiada także za wyłudzenie danych karty kredytowej i danych logowania do m.in. WhatsAppa,
Vibera, Skype’a, czy Gmaila.
W jednym z nieoficjalnych sklepów z aplikacjami analityk zagrożeń ESET odkrył narzędzie „Optimization Android”, które zamiast wydłużać czas pracy baterii smartfona z Androidem, posiadała dwie groźne funkcje kontrolowane przez cyberprzestępców. Pierwsza z nich odpowiadała za kradzież tysiąca euro z konta Paypal. W jaki sposób? Po pobraniu programu, ten proponował użytkownikowi „włączenie statystyk”. Po akceptacji złośliwe oprogramowanie generowało fałszywe powiadomienie o rzekomej konieczności pilnego uruchomienia aplikacji PayPal w celu potwierdzenia ważności danych. Po wpisaniu hasła, ofiara otrzymywała kod autoryzacyjny. W ciągu pięciu sekund dochodziło do kradzieży tysiąca euro z konta. Rzecz jasna, jeśli taka kwota była dostępna na koncie lub była do niego podpięta karta płatnicza. Aplikacja pobierała pieniądze w walucie zależnej od lokalizacji ofiary. Proces ataku i kradzieży prezentuje wideo:
Druga, równie niebezpieczna funkcja złośliwej aplikacji odpowiadała za wyłudzanie od ofiary informacji o kartach kredytowych i danych w legalnych aplikacjach takich jak Gmail, Viber, Skype, czy WhatsApp. Podczas korzystania ze smartfonu złośliwe oprogramowanie uruchomiało specjalną nakładkę ekranową, która wyświetlała logo jednej ze wspomnianych wyżej aplikacji oraz puste pole karty kredytowej, wymagające uzupełnienia. Nakładka ta uniemożliwiała w ten sposób korzystanie z telefonu. Ekspert z ESET przypuszcza, że dzięki nakładce kradnącej dane logowania do Gmaila, cyberprzestępcy mogli uzyskać dostęp do poczty i z jej poziomu kasować lub odpowiadać na maile np. dotyczące operacji PayPal. Co gorsza, Lukas Stefanko zauważył, że podobna technika została wykorzystana przez cyberprzestępców do pozyskiwania danych logowania do australijskiego banku (National Australia Bank) oraz wyłudzania wrażliwych informacji od Brazylijczyków za pomocą zainfekowanych aplikacji pochodzących z oficjalnego sklepu Google Play.
Jak uchronić się przed fałszywymi aplikacjami?
Jak wskazuje ekspert z ESET, ci, którzy zainstalowali złośliwą aplikację, powinni sprawdzić stan konta bankowego pod kątem podejrzanych transakcji, następnie zmienić hasło/kod PIN do serwisu transakcyjnego banku, Gmaila oraz PayPala. W przypadku nieautoryzowanych transakcji PayPal, możesz zgłosić problem w centrum pomocy PayPal. Jeśli fałszywa aplikacja uruchomiła wspomnianą nakładkę, zaleca się włączenie trybu awaryjnego systemu Android oraz odinstalowanie aplikacji „Optimization Android” w menu > Ustawienia > Ogólne > Menadżer aplikacji > Aplikacje.
Aby w przyszłości uchronić się przed złośliwym oprogramowaniem dla telefonów z systemem Android, ekspert z ESET radzi:
- Korzystać z oficjalnego sklepu Google Play podczas pobierania programów, przed pobraniem aplikacji z Google Play sprawdź liczbę pobrań, oceny użytkowników i wydźwięk komentarzy (duża ilość tych negatywnych powinna wzbudzić Twoją czujność),
- zwrócić uwagę na uprawnienia przyznawane instalowanym aplikacjom,
- zadbać o to, aby Twoje urządzenie z Androidem było aktualne i chronione aplikacją antywirusową, która m.in. potrafi wykryć fałszywe aplikacje.