Bankovní trojan pro android dokáže obejít 2FA

Android/Spy.Agent.SI krade přihlašovací údaje do mobilního bankovnictví z více než 20 aplikací známých bank. Malware se maskuje jako Flash Player, včetně legitimně vypadající ikony. Díky schopnosti zachytávání SMS komunikace překoná i dvoufaktorové ověření identity uživatele.
Tereza Malkusová
Total
0
Sdílení

Malware se stahuje z několika serverů, které byly registrovány na konci ledna a začátku února. Zajímavostí je, že URL adresy ke škodlivému APK balíčku se mění každou hodinu. Jde o klasickou metodu, jak co nejdéle odolávat detekčním mechanismům antivirových programů.

index

Po stažení a instalaci aplikace požádá uživatele o přístup do zařízení s administrátorskými právy. Po udělení oprávnění škodlivou aplikaci nejde klasickou cestou odinstalovat. Ikona aplikace, která se vydává za Flash Player, se v uživatelském rozhraní skryje, takže na první pohled to vypadá, že k instalaci vůbec nedošlo, malware však už na pozadí provádí svou činnost.

Android/Spy.Agent.SI komunikuje se vzdáleným serverem. V pravidelných intervalech 25 sekund odesílá na server informace o infikovaném zařízení – model, IMEI, jazyk, verze SDK a instalovaných aplikacích. Z těch ho nejvíce zajímají bankovní aplikace. Pokud dojde ke shodě s cílovými aplikacemi, dojde k útoku.

Nejde o nic složitého. Při zapnutí legitimní aplikace malware zablokuje otevření aplikace a požaduje zadání přístupových údajů v podvodném okně. Samozřejmě v reálu k žádnému ověření zadaných údajů nedochází, místo toho Android/Spy.Agent.SI získaná data ihned odesílá na vzdálený server. Podobný způsobem se snaží získat přístup i do Google účtu.

schéma propojení androidu s počítačem

Výměna informací mezi zařízení a serverem je kódována. Vše kromě ukradených přihlašovacích údajů, které se odesílají v plain textu.

plain text

Pak už při podvodné platbě zbývá jen obejít ověření pomocí SMS zprávy. Opět jde o jednoduchý proces. Malware odešle text smsky na server a zároveň zamaskuje, že by nějaká SMS na zařízení vůbec přišla. Útočník tak může nepozorovaně okrádat uživatele a převádět peníze na vlastní účty.

Android/Spy.Agent.SI prozatím útočí jen v Austrálii, Novém Zélandě a Turecku.

Novinky z magazínu Dvojklik.cz

Jednou měsíčně vám pošleme to nejbezpečnější čtení. Pohodlně. Do mailu.

Frekvence odesílání 1x měsíčně.
Snadné odhlášení jedním kliknutím.

Další informace o zpracování osobních údajů najdete v našich zásadách ochrany osobních údajů.

Mohlo by vás zajímat
Falešné faktury šíří v Česku malware

Neočekávaná faktura v e-mailu může obsahovat škodlivý kód

Podle poslední statistiky nejčastějších hrozeb pro operační systém Windows v Česku je s téměř pětinou všech detekcí největším rizikem stále spyware Agent Tesla. Nejčastější e-mailové přílohy, jejichž prostřednictvím se malware v říjnu šířil Českem, tentokrát odkazovaly na dokumenty k platbám, jako jsou faktury nebo potvrzení od přepravních společností.
Přečíst článek