Skutečnou nebo virtuální měnu? Podvodníci berou obojí

  |   Technologie

Analytici společnosti ESET objevili škodlivé aplikace, které kradou přihlašovací údaje do PayPalu a Paxfulu a maskují se za nástroj na vydělávání peněz na YouTube a aplikaci pro nákup či prodej Bitcoinů.

1492697600_29292834_ml.jpg

Chtěli byste zvýšit návštěvnost svého kanálu na YouTube a nebo dokonce inkasovat peníze za každé přehrání vašich videí? Nebo hledáte možnost, jak nakupovat a prodávat Bitcoiny jednoduše prostřednictvím vašeho chytrého telefonu? Tvůrci aplikací Boost Views a PaxVendor chtějí, abyste uvěřili, že vám nabízí přesně to, co hledáte. Nejen že tomu tak ve skutečnosti není, ale riskujete, že sami přijdete o peníze.

Zvýšit návštěvnost a zpeněžit obsah na YouTube

Pod rouškou atraktivních doplňkových služeb k YouTube si zloděj přihlašovacích údajů k účtům PayPal našel cestu do zařízení víc než 100 tisíc uživatelů. Škodlivá aplikace, již ESET detekuje jako Trojan.Android/FakeApp.FK, slibuje rychlý zisk z přehrávání videí na YouTube a také zvýšení počtu přehrání výměnou za nakoupené kredity. Podle popisu aplikace mohou uživatelé pohodlně převádět zisky z přehrání videí na YouTube na své účty PayPal.

Pokud se však uživatel pokusí zadáním svých přihlašovacích údajů k PayPal účtu ověřit transakci, velmi jednoduše zjistí, že se stal obětí podvodu – na účet nejsou převedeny žádné peníze, které se tam měly pomocí aplikace dostat. Ba co hůř, přihlašovací údaje k účtu PayPal se tímto „ověřením“ dostanou do rukou útočníkům, kteří je mohou kdykoli zneužít.

obr1

Obr. 1 – Boost Views v Google Play

obr2

obr2b

Obr. 2 - Negativní hodnocení Boost Views, která naznačují podvodnou činnost

 

Jak to funguje?

Jakmile je aplikace stažena do zařízení, vyzve uživatele k vytvoření účtu Boost Views. Po přihlášení si může uživatel vybrat jednu z údajně nabízených služeb. Pro inkasování peněz za sledování videí na YouTube, což je jedna z hlavních funkcí inzerované aplikace, jde o prohlížeč a video přehrávač. Návštěvníci vašeho YouTube kanálu si mohou prohlížet obsah za 0,0001 až 0,0005 dolarů za minutu, vydělaná částka se vám zobrazuje v rámci videoobsahu.

Poté, co jsme měli vydělat 0,09 dolaru za 16 hodin automatického přehrávání videa a nezaznamenali jsme žádnou zmínku o výši vydělaných peněz, snažili jsme se nějakým způsobem dostat k vydělané částce.

obr3

Obr. 3 - Přehrávač videa v aplikaci Boost Views s informacemi o vydělané částce

Aby bylo možné vybrat peníze, uživatel nejprve musí ověřit svoji totožnost prostřednictvím nezabezpečeného přihlašovacího formuláře. Jakmile do něj oběť zadá své přihlašovací údaje, objeví se chybová hláška o „neplatných přihlašovacích údajích“ a data k PayPal účtu jsou odeslána v nezašifrované podobě na server tvůrce škodlivé aplikace.

Takto napadený účet u PayPalu a zůstatek na kreditní kartě oběti mohou být kdykoli zneužity. V době psaní tohoto článku sice zkušební PayPal účet nevykazuje žádné podezřelé aktivity, to však nedává žádnou jistotu, že se tomu tak nestane do budoucna, protože přihlašovací údaje k tomuto účtu už má k dispozici i někdo jiný.

 obr4

Obr. 4 - Falešná přihlašovací stránka s žádostí o vyplnění přihlašovacích údajů k účtu na PayPalu

 obr5

Obr. 5 - Chybové hlášení o neplatném přihlášení, které se zobrazí po zadání přihlašovacích údajů do účtu PayPal

Pokud si uživatelé chtějí vyměnit kredity získané za zhlédnutí videí na YouTube, mají k tomu použít nástroj, který je součástí škodlivé aplikace. I když to může vypadat jako logický způsob, jak zpeněžit aktivitu na YouTube a využít danou aplikaci, ve skutečnosti tento nástroj slouží k převodu peněz – a případně i informací o kreditní kartě – do rukou útočníka.

Zajímavé je, že podobné služby jsou nabízeny i na webových stránkách tvůrce škodlivé aplikace, kde jsou uvedeny různé výše možného výdělku a neplatné odkazy, které vedou na falešné domovské stránky platebních webů. Internetové stránky jako takové vytváří dojem jednoduchých webů s obecnými šablonami a marketingovými texty, nikoli skutečným obsahem, což vzbuzuje další podezření.

 obr6

obr6b

Obr. 6 - Nástroj aplikace, který nabízí kredity pro převod vydělaných peněz

obr7

Obr. 7 - Kreditní balíčky s neplatnými odkazy na webové stránky vývojáře aplikace


PaxVendor

Zatímco aplikace Boost Views má útočníkům pomoci proniknout do vašeho PayPal účtu, další škodlivá aplikace PaxVendor se od vás snaží získat Bitcoiny. ESET tuto hrozbu detekuje jako Android/FakeApp.FI. Aplikace parazituje na legitimním internetovém tržišti s Bitcoiny Paxful. Využívá falešnou přihlašovací stránku do Paxfulu a nenabízí obětem žádnou funkčnost.

Během jediného týdne dosáhla tato aplikace 500 instalací, než byla po upozornění společnosti ESET stažena z nabídky Google Play. ESET rovněž kontaktoval Paxful, aby varoval své uživatele před touto falešnou přihlašovací stránkou.

obr8

Obr. 8 – PaxVendor v Google Play

 

Jak to funguje?

Po spuštění aplikace žádá uživatele, aby zakázali možnost přihlášení do Paxfulu prostřednictvím účtu na Google nebo autorizační SMS zprávou, aby předešla možným problémům při dvoufaktorové autentizaci. Poté požádá uživatele, aby vyplnil na falešné stránce Paxfulu svoje přihlašovací údaje.

Pokud tak oběť učiní, zobrazí se mu obrazovka s chybovým hlášením a informací, že aplikace se k účtu nemůže připojit. Ve skutečnosti jsou ale přihlašovací údaje odeslány na server útočníků. Jakmile je získají, snaží se okamžitě přihlásit do účtu Paxfulu. V našem případě se okamžitě poté, co jsme zadali přístupové údaje do falešné přihlašovací stránky, přihlásil do našeho účtu na Paxfulu někdo z Ukrajiny.

obr9

Obr. 9 - Falešná přihlašovací stránka k účtu na Paxfulu

obr10

Obr. 10 - Odcizené přihlašovací údaje použije útočník k přihlášení do účtu oběti na Paxfulu


Jak se chránit?

Pokud jste si stáhli aplikaci Boost Views a snažili jste se vybrat peníze přes PayPal, důrazně vám doporučujeme okamžitě změnit heslo k vašemu účtu na PayPal. A když už budete u toho, zkontrolujte účet, zda na něm nedošlo k nějaké podezřelé aktivitě, a pokud ano, okamžitě ji nahlaste PayPalu. Můžete se také pokusit škodlivou aplikaci odinstalovat, a to tak, že půjdete do sekce Nastavení> Správce aplikací / Aplikace> Boost View.

Co se týká aplikace PaxVendor, změňte heslo ke svému účtu u tržiště Paxful a zkontrolujte aktivity na účtu, zda nedošlo k něčemu neobvyklému. Poté odinstalujte falešnou aplikaci tak, že půjdete do Nastavení> Správce aplikací / Aplikace> PaxVendor.

Pokud se nechcete stát obětí malware cílícího na Android, držte se několika základních zásad při výběru a instalaci aplikací na vaše zařízení:

  • Pokud je to možné, stahujte aplikace z oficiálních obchodů s aplikacemi a ne z neznámých zdrojů. I když Google Play není dokonalý, používá pokročilé bezpečnostní mechanismy, aby se zbavil škodlivého softwaru, což nemusí u alternativních obchodů platit.
  • Zvýšená opatrnost je na místě při stahování aplikací třetích stran, které nabízejí doplňkové funkce k již existujícím aplikacím, ale nepocházejí od licencovaného vývojáře. Mohou těžit z popularity původní aplikace. Vyhněte se tedy vkládání citlivých přihlašovacích údajů do nedůvěryhodných přihlašovacích formulářů aplikací třetích stran.
  • Chcete-li si ověřit, zda je aplikace důvěryhodná, zjistěte si, jak je populární u dalších uživatelů – zkontrolujte počet jejích stažení, hodnocení a co je nejdůležitější, přečtěte si komentáře uživatelů. V případě jakýchkoli pochybností se raději rozhodněte pro vysoce kvalitní aplikace označené „Top Developer“ nebo se nachází v kategorii „Choice“.

Dvojklik