Mobilní trojské koně útočily na klienty bank

Experti bezpečnostních firem Avast, Eset a SfyLabs zkoumali bankovní malware BankBot, jehož aktuální verze se v letošním roce opakovaně infiltrovala do obchodu Google Play.

Mobilní trojské koně útočily na klienty bank


V jeho rámci se ve dvou vlnách objevily legitimně se tvářící aplikace, které však obsahovaly škodlivý kód. Šlo o aplikaci svítilny, karetní hry Solitaire a čištění zařízení, které ale obsahovaly mimo BankBot také další malware, Mazar či Red Alert. Takové aplikace pak špehovaly uživatele a po získání přístupových údajů k bankovním účtům u nich i kradly.

Starší verze BankBotu byly z Google Play odstraněny v rámci několika dní. Ovšem některé verze byly aktivní až do 17. listopadu, což způsobilo napadení řádově tisíců uživatelů.

Malware nejdříve nainstaloval falešné uživatelské rozhraní, uložené v aplikaci legitimního mobilního bankovnictví. Odeslané bankovní údaje v takovém případě putují přímo k útočníkům, kteří mají BankBot na svědomí. Banky v Evropě sice využívají tzv. ověřovací čísla transakcí (TAN) jakožto variantu dvoufaktorového ověřování, jenže tvůrci BankBotu umějí zachytit také textové zprávy s číslem TAN, a poté si „vesele“ převádět peníze z účtu oběti kam jen chtějí.

Malware BankBot je podobný tomu, o kterém v září informovala další bezpečnostní firma, Trend Micro.

Útoky malwaru BankBot v mezinárodním měřítku zasáhly klienty bank Citibank, Wells Fargo a Chase, v českém kontextu pak Air Bank, ČSOB a Sberbank. První vzorky malwaru byly objeveny 13. října 2017 v aplikaci Tornado FlashLight a později také v aplikacích Lamp for DarkNess a Sea FlashLight.

Zdroj: blog společnosti Avast


Úvodní foto: © Andrea Danti - Fotolia.com




Komentáře