QRecorder vykrádal bankovní účty

To by jeden od aplikace sloužící k nahrávání hovorů nečekal. Jednalo se o dosti zajímavý útok, se kterým jsem se zatím v takovém rozsahu nesetkal.

O co šlo

V oficiálním obchodě Google Play byla analytiky ESETu nalezena hrozba, v podobě aplikace QRecorder. Šlo a aplikaci pro nahrávání hovorů, kterých je ve storu dosti, ale tahle byla zdarma a měla super funkce. Vybudovala si tak poměrně početnou základnu uživatelů, jen v ČR si ji stáhlo přes 10 000 uživatelů. Co čert nechtěl, v jednom z posledních updatů se aplikace naučila i něco dalšího – vykrádat lidem účty.

K tomu docházelo za podmínky, že současně s QRecorderem byla v mobilním zařízení nainstalována i aplikace pro internet banking. Jakmile QRecorder nalezl tuto appku, spustil poměrně sofistikovaný útok. Jelikož měla aplikace naprosto nesmyslně vysoká práva (uživatelé je musejí při instalaci odklikat, ale většina lidí je nečte) mohla si dělat vše co potřebovala. Například díky plnému přístupu k fukcím pro hendikepované, které se obvykle nazývají Zpřístupnění mohl QRecorder vyvolat nad aplikací mobilního bankovnictví průhlednou vrstvu, která snímala zadávané přístupové údaje. To už byla appka na půl cesty k uživatelově účtu – mohla zjistit zůstatek a zadat příkaz k úhradě. I to je zajímavé – appka měla detailně zmáknuto, jak která z aplikací pro banking funguje – to je důkaz vysoké míry přípravy a přesného zacílení. V momentě, kdy vytvořila platební příkaz, došlo k zaslání ověřovací SMS na zákazníkovo telefon. A zde opět zafungovaly nesmyslně vysoká oprávnění aplikace – QRadar si z příchozí SMS vyčetl ověřovací kód, použil jej a SMS zprávu pak smazal – to proto, že měl oprávnění číst a modifikovat zprávy. Ke včerejšímu datu byla potvrzená škoda přes dva miliony korun a to pouze u uživatelů, kteří se k tomu přihlásili.

Co na tom bylo zajímavé

Je toho více a já to vezmu po bodech, které rozepíši:

• Aplikace byla původně legitimní To je velmi zajímavé a nezvyklé. Útočníci vytvořili plně funkční appku a nechali ji ve storu poměrně dlouhou dobu, aby se rozšířila, získala si dobré jméno i hodnocení, vydávali k ní aktualizace… Až jednoho krásného dne z ní updatem udělali trojského koně.
• Cílila na Česko, Polsko a Německo  Aplikace měla zmáknuté různé aplikace tuzemských bank, uměla s nimi pracovat a spouštěla malwarové moduly pouze v případě, že byly appky pro mobilní banking nainstalovány a spouštěny. Data se odesílala útočníkům na C&C server, odkud šly zpátky i příkazy. Cílení na Českou Republiku je navíc poměrně vzácné.
• Obrana byla složitá a uživatel nemusel nic poznat Způsob, jak se uživatel může bránit, není v tomto případě jednoznačný. Aplikace byla stažena z legitimního zdroje Google Play a dříve nepředstavovala žádné riziko. Kromě instalace bezpečnostního softwaru proto představuje jedinou cestu důsledná kontrola požadovaných oprávnění.

Medializace

Tato událost oběhla ten den všechna média. Jednak je to opravdu důkazem, že antivir na Android má smysl. Spousta lidí mi tvrdí že ne a že jim tento názor říkaám jen pro to, že pracuji pro AV společnost. Ale říkal bych ho i tak. A zrovna tedy se to sešlo – i když uživatel neudělal nic špatně, došlo k infiltraci jeho zařízení a bez antivirového programu neměl šanci to odhalit. Druhak bylo velmi zajímavé to, že kampaň byla cílena na Českou Republiku. Tiskovou zprávu od ESETu převzala snad všechna média a já o ní večer krátce promluvil ve večerních zprávách na Nově.

O pár dní později jsem měl i delší, téměř hodinový rozhovor v diskuzním pořadu Rozstřel s moderátorem Vladimírem Vokálem a redaktorem serveru Technet.cz Romanem Všetečkou.

Kdo útočil

To zatím není jasné. Většinu z účtů, na které byly ukradené peníze převedeny, zřídil muž jménem Andrei Grasu – jméno a předložené doklady však byly podle rumunské policie falešné. Odcizené peníze pachatel vybíral v bankomatech v Praze. Na takto sofistikovaném útoku se nejspíše podílela celá skupina lidi a tento mladík je jen bílý kůň.

Závěrem

Nevěřte lidem, kteří říkají, že na mobilu antivir nepotřebujete a už vůbec ne těm strejdům, kteří tvrdí, že jedou už 13 let na Windows XP bez antiviru a nikdy žádný virus neměli 🙂 Důsledně kontrolujte oprávnění a pokud se vám něco nezdá, appku neinstalujte.