Pénzcentrum • 2017. szeptember 28. 18:30
Egy biztonságtechnikai cég által már bemutatott veszélyes androidos trójai vírus újra megjelent a Google Play áruházban. A játékalkalmazásba beépült program elsődleges célja a bankkártya adatok ellopása. A cég szakembereinek elemzéséből kiderül, hogyan működik a kártevő, miként távolítható el és miként védekezhetünk a hasonló támadások ellen.
A BankBot elnevezésű trójai program folyamatosan fejlődött az év eleje óta, és jelent meg különböző verziókban a Google Play áruházban és azon kívül is. Az ESET által felfedezett változat, amely szeptember 4-én tűnt fel a mobilos alkalmazástérben, elsőként ötvözi a kártevő fejlődése során elért összes funkciót: javított kód elrejtés, kifinomult kódbejuttatási funkció és az Android hozzáférhetőségi szolgáltatását kihasználó ravasz fertőző mechanizmus.
Az Android hozzáférhetőségi szolgáltatásának kihasználását számos korábbi trójai programnál figyelték meg, a legtöbb esetben a Google Play áruházon kívül. A SfyLabs és a Zscaler elemzései beigazolták, hogy a BankBot vírust terjesztő kiberbűnözők korábban sikeresen feltöltöttek egy alkalmazást a Google Play áruházba az Android hozzáférhetőségi szolgáltatásának kihasználásával, amely akkor azonban magát a banki kártevőt még nem tartalmazta.
Az ESET szakemberei haladéktalanul jelezték a vírus felbukkanását a Google biztonsági csoportjának, ám kártékony appot az eltávolítás előtt már sajnos közel 5000 felhasználó töltötte le és telepítette.
Hogyan működik?
Miután a gyanútlan felhasználó letöltötte a GameDevTony által fejlesztett Jewels Star Classic játékot, egy működő androidos játékot kap ugyan, de a program emellett trójai funkciókkal is rendelkezik: az alkalmazásban rejtőzködő banki kártevő és a rosszindulatú szolgáltatások az előre beállított késleltetést követően várják az indítást.
A rosszindulatú folyamatok 20 perccel a játék első indítás után veszik kezdetüket. A fertőzött eszköz képernyőjén egy figyelmeztetés jelenik meg, és arra kéri a felhasználót, hogy engedélyezzen egy "Google szolgáltatást", amelynek tartalma mindig a felhasználó aktuális tevékenységétől függ, és nincs kapcsolatban a játékkal. Miután a felhasználó rányom az ’OK’ gombra, amely a figyelmeztetés eltüntetésének egyetlen módja, a program az Android Hozzáférések menübe navigálja, ahol a szolgáltatások és a hozzáférések kezelhetők. A hivatalos szolgáltatások között megjelenik egy új pont, amelyet a kártevő hozott létre. Rákattintva a Google felhasználói feltételei jelennek meg.
Ha a felhasználó aktiválja a szolgáltatást, megjelennek a kért engedélykérések: a felhasználó tevékenységének megfigyelése, az ablakok tartalmának lekérdezése, a böngészés bekapcsolása érintéssel, továbbfejlesztett webes lehetőségek bekapcsolása és a mozgások végrehajtása.
A jóváhagyás után, miközben a felhasználó a frissítés betöltésére vár, a kártevő az alábbi folyamatokat hajtja végre:
NULLA FORINTOS SZÁMLAVEZETÉS? LEHETSÉGES! MEGÉRI VÁLTANI!
Nem csak jól hangzó reklámszöveg ma már az ingyenes számlavezetés. A Pénzcentrum számlacsomag kalkulátorában ugyanis több olyan konstrukciót is találhatunk, amelyek esetében az alapdíj, és a fontosabb szolgáltatások is ingyenesek lehetnek. Nemrég három pénzintézet is komoly akciókat hirdetett, így jelenleg a CIB Bank, a Raiffeisen Bank, valamint az UniCredit Bank konstrukcióival is tízezreket spórolhatnak az ügyfelek. Nézz szét a friss számlacsomagok között, és válts pénzintézetet percek alatt az otthonodból. (x)
- Engedélyezi az ismeretlen forrásból származó alkalmazások letöltését,
- telepíti és elindítja a BankBot kártevőt,
- a kártevő eszközadminisztrátorrá teszi a BankBot programot,
- alapértelmezett SMS küldő alkalmazásnak állítja be a BankBot vírust
- engedélyt ad más alkalmazásoknak is.
Második lépés
Ezek után a vírus következő feladatán, a bankkártyaadatok ellopásán dolgozik.
Hogyan távolítsuk el a kártevőt? A Jewels Star Classic játék utáni kutatás önmagában nem elég, a támadók gyakran változtatják a terjesztéshez használt alkalmazást. Ahhoz, hogy megtudjuk fertőzött-e az eszközünk, az alábbi jeleket keressük:
- Google Update elnevezésű alkalmazás (Beállítások-> Alkalmazások->Google Update)
- Aktív készülékadminisztrátor "System Update" (rendszerfrissítés) néven (Beállítások->Biztonság-> Készülékadminisztrátorok)
- A "Google Service" figyelmeztetés többszöri megjelenése.
A készülék manuális megtisztításához le kell tiltani a "System Update" adminisztrátori jogosultságát, majd törölni kell a “Google Update" és a fertőzött alkalmazást is.
Hogyan maradjunk biztonságban?
- Használjunk megbízható mobilbiztonsági megoldást mobilon és táblagépen egyaránt, valamint tartsuk be az alábbi néhány tanácsot.
- Használjuk a hivatalos áruházat, amikor csak lehetséges. Bár időnként itt is előfordulnak incidensek, de még így is erőteljesebb a biztonság az alternatív áruházakhoz képest, a Google Play rendszeres ellenőrzési eljárásainak köszönhetően.
- Ha kétségeink vannak egy alkalmazásról, akkor nézzük meg a népszerűségét a telepítések száma, az értékelések és a visszajelzések alapján.
- Miután bármit is elindítunk mobileszközünkön, nézzük meg, hogy milyen engedélyeket kér az alkalmazás. Ha a program a funkcióihoz nem társuló jogosultságokat kér, akkor olvassuk el figyelmesen ezeket, és csak akkor adjuk meg az engedélyt, ha teljesen biztosak vagyunk az alkalmazás megbízhatóságában.