internet

Dwie aplikacje z Google Play kradły dane klientów polskich banków

Pomimo rygorystycznego sprawdzania każdej zgłoszonej aplikacji, czasem przestępcom udaje się jednak ominąć zabezpieczenia Google Play. Tak stało się w przypadku dwóch aplikacji, które wykorzystywane były przez przestępców do kradzieży danych logowania klientów polskich banków.

Specjaliści z ESET zidentyfikowali w sklepie Google Play dwie aplikacje, które mogą bardzo zaszkodzić klientom polskich banków. Obie, wykorzystując fałszywe powiadomienia i strony wyglądające jak strony logowania serwisów bankowych, pozwalały przestępcom wykraść dane do logowania, a nawet przechwycić smsy z kodami autoryzującymi transakcje.

Oczywiście obie aplikacje swoje prawdziwe możliwości ukrywały pod przydatnymi funkcjonalnościami. StorySaver miał służyć do pobierania filmów i zdjęć Story z serwisu Instagram, które z założenia mają być dostępne w serwisie tylko tymczasowo. Natomiast CryptoMonitor to aplikacja umożliwiająca śledzenie kursów kryptowalut. Jednak w rzeczywistości obie aplikacje wykorzystywały ten sam mechanizm kradzieży danych klientów polskich banków.

Po zainstalowaniu, aplikacje skanowały pamięć urządzenia mobilnego w poszukiwaniu aplikacji polskich banków: Alior Mobile, BZWBK24 mobile, Getin Mobile, IKO, Moje ING mobile, Bank Millennium, mBank PL, BusinessPro, Nest Bank, Bank Pekao, PekaoBiznes24, plusbank24, Mobile Bank lub Citi Handlowy. Jeśli takowe zostaną odnalezione, aplikacje wyświetlają powiadomienie wyglądające jak komunikat z odpowiedniej aplikacji bankowej. Po kliknięciu w komunikat, użytkownik jest przekierowywany na stronę wyglądającą jak strona logowania banku, dzięki czemu przestępcy mogą przechwycić dane logowania. Ponadto aplikacje proszą także o dostęp do smsów, przez co mogą przechwycić kody autoryzacji transakcji.

ESET rozpoznał zagrożenie jako Android/Spy.Banker.QL i zgłosił je oczywiście Google, co spowodowało usunięciem aplikacji z Google Play. Niestety, choć pojawiły się one na platformie pod koniec listopada, do czasu ich usunięcia zostały pobrane tysiące razy. Użytkownikom StorySaver i CryptoMonitor zaleca się ich natychmiastowe odinstalowanie oraz zmianę danych logowania w serwisach bankowych.

Zdjęcie: Flickr/Adam N. Ward

podobne treści