To by jeden od aplikace sloužící k nahrávání hovorů nečekal. Jednalo se o dosti zajímavý útok, se kterým jsem se zatím v takovém rozsahu nesetkal.
O co šlo
V oficiálním obchodě Google Play byla analytiky ESETu nalezena hrozba, v podobě aplikace QRecorder. Šlo a aplikaci pro nahrávání hovorů, kterých je ve storu dosti, ale tahle byla zdarma a měla super funkce. Vybudovala si tak poměrně početnou základnu uživatelů, jen v ČR si ji stáhlo přes 10 000 uživatelů. Co čert nechtěl, v jednom z posledních updatů se aplikace naučila i něco dalšího – vykrádat lidem účty.
K tomu docházelo za podmínky, že současně s QRecorderem byla v mobilním zařízení nainstalována i aplikace pro internet banking. Jakmile QRecorder nalezl tuto appku, spustil poměrně sofistikovaný útok.
Jelikož měla aplikace naprosto nesmyslně vysoká práva (uživatelé je musejí při instalaci odklikat, ale většina lidí je nečte) mohla si dělat vše co potřebovala. Například díky plnému přístupu k fukcím pro hendikepované, které se obvykle nazývají Zpřístupnění mohl QRecorder vyvolat nad aplikací mobilního bankovnictví průhlednou vrstvu, která snímala zadávané přístupové údaje.
Aplikace se tvářila naprosto legitimně.
Měla výtečné hodnocení. Dokud nebyla reporotvána, byl počet 1* pouhé 1 % !
Výpis nesmyslných práv, které aplikace “potřebovala”.
To už byla appka na půl cesty k uživatelově účtu – mohla zjistit zůstatek a zadat příkaz k úhradě. I to je zajímavé – appka měla detailně zmáknuto, jak která z aplikací pro banking funguje – to je důkaz vysoké míry přípravy a přesného zacílení. V momentě, kdy vytvořila platební příkaz, došlo k zaslání ověřovací SMS na zákazníkovo telefon. A zde opět zafungovaly nesmyslně vysoká oprávnění aplikace – QRadar si z příchozí SMS vyčetl ověřovací kód, použil jej a SMS zprávu pak smazal – to proto, že měl oprávnění číst a modifikovat zprávy.
Ke včerejšímu datu byla potvrzená škoda přes dva miliony korun a to pouze u uživatelů, kteří se k tomu přihlásili.
Co na tom bylo zajímavé
Je toho více a já to vezmu po bodech, které rozepíši:
Aplikace byla původně legitimní
To je velmi zajímavé a nezvyklé. Útočníci vytvořili plně funkční appku a nechali ji ve storu poměrně dlouhou dobu, aby se rozšířila, získala si dobré jméno i hodnocení, vydávali k ní aktualizace… Až jednoho krásného dne z ní updatem udělali trojského koně.
Cílila na Česko, Polsko a Německo
Aplikace měla zmáknuté různé aplikace tuzemských bank, uměla s nimi pracovat a spouštěla malwarové moduly pouze v případě, že byly appky pro mobilní banking nainstalovány a spouštěny. Data se odesílala útočníkům na C&C server, odkud šly zpátky i příkazy. Cílení na Českou Republiku je navíc poměrně vzácné.
Obrana byla složitá a uživatel nemusel nic poznat
Způsob, jak se uživatel může bránit, není v tomto případě jednoznačný. Aplikace byla stažena z legitimního zdroje Google Play a dříve nepředstavovala žádné riziko. Kromě instalace bezpečnostního softwaru proto představuje jedinou cestu důsledná kontrola požadovaných oprávnění.
Medializace
Tato událost oběhla ten den všechna média. Jednak je to opravdu důkazem, že antivir na Android má smysl. Spousta lidí mi tvrdí že ne a že jim tento názor říkaám jen pro to, že pracuji pro AV společnost. Ale říkal bych ho i tak. A zrovna tedy se to sešlo – i když uživatel neudělal nic špatně, došlo k infiltraci jeho zařízení a bez antivirového programu neměl šanci to odhalit.
Druhak bylo velmi zajímavé to, že kampaň byla cílena na Českou Republiku. Tiskovou zprávu od ESETu převzala snad všechna média a já o ní večer krátce promluvil ve večerních zprávách na Nově.
O pár dní později jsem měl i delší, téměř hodinový rozhovor v diskuzním pořadu Rozstřel s moderátorem Vladimírem Vokálem a redaktorem serveru Technet.cz Romanem Všetečkou.
Kdo útočil
To zatím není jasné. Většinu z účtů, na které byly ukradené peníze převedeny, zřídil muž jménem Andrei Grasu – jméno a předložené doklady však byly podle rumunské policie falešné. Odcizené peníze pachatel vybíral v bankomatech v Praze.
Na takto sofistikovaném útoku se nejspíše podílela celá skupina lidi a tento mladík je jen bílý kůň.
Závěrem
Nevěřte lidem, kteří říkají, že na mobilu antivir nepotřebujete a už vůbec ne těm strejdům, kteří tvrdí, že jedou už 13 let na Windows XP bez antiviru a nikdy žádný virus neměli 🙂 Důsledně kontrolujte oprávnění a pokud se vám něco nezdá, appku neinstalujte.
🤖 Tenhle web je bez reklam! 🤖
💸 Nesbírám a neprodávám data návštěvníků. 💸
🕵️♂️ Respektuji Vaše soukromí. 🕵️♂️
🌎 Píšu pro dobro lidstva. 🌎
❤️ Líbí se Vám článek? ❤️
🇪🇺 Nové nařízení EU Vám dává do rukou moc řídit, kdo má přístup k Vašim datům. Marketéři se teď sice asi chytají za hlavu a bojí se o práci, ale soukromí nadevše a tomu fandím.
🍪 Nemám rád sušenky a respektuji Vaše soukromí. 🍪 Používám je vesměs jen k tomu, aby se Vám nezobrazovala opakovaně výzva abyste mi doplnili zásoby kofeinu a nebo aby si web pamatoval, zda jste si zapnuli tmavý režim.
Cookies ale využívá YouTube, Vimeo a další zdroje, kde mám videa, nebo na které z webu odkazuji, takže povolení sběru dat je tu hlavně kvůli nim. Své rozhodnutí můžete kdykoliv změnit v pravém dolním rohu v sekci SPRAVOVAT SOUHLAS.
Funkční
Vždy aktivní
Technické uložení nebo přístup je nezbytně nutný pro legitimní účel umožnění použití konkrétní služby, kterou si odběratel nebo uživatel výslovně vyžádal, nebo pouze za účelem provedení přenosu sdělení prostřednictvím sítě elektronických komunikací.
Předvolby
Technické uložení nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány odběratelem nebo uživatelem.
Statistiky
Technické uložení nebo přístup, který se používá výhradně pro statistické účely.Technické uložení nebo přístup, který se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho Poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace, uložené nebo získané pouze pro tento účel, obvykle použít k vaší identifikaci.
Marketing
Technické uložení nebo přístup je nutný k vytvoření uživatelských profilů za účelem zasílání reklamy nebo sledování uživatele na webových stránkách nebo několika webových stránkách pro podobné marketingové účely.
K tomu docházelo za podmínky, že současně s QRecorderem byla v mobilním zařízení nainstalována i aplikace pro internet banking. Jakmile QRecorder nalezl tuto appku, spustil poměrně sofistikovaný útok.
Jelikož měla aplikace naprosto nesmyslně vysoká práva (uživatelé je musejí při instalaci odklikat, ale většina lidí je nečte) mohla si dělat vše co potřebovala. Například díky plnému přístupu k fukcím pro hendikepované, které se obvykle nazývají Zpřístupnění mohl QRecorder vyvolat nad aplikací mobilního bankovnictví průhlednou vrstvu, která snímala zadávané přístupové údaje.
K tomu docházelo za podmínky, že současně s QRecorderem byla v mobilním zařízení nainstalována i aplikace pro internet banking. Jakmile QRecorder nalezl tuto appku, spustil poměrně sofistikovaný útok.
Jelikož měla aplikace naprosto nesmyslně vysoká práva (uživatelé je musejí při instalaci odklikat, ale většina lidí je nečte) mohla si dělat vše co potřebovala. Například díky plnému přístupu k fukcím pro hendikepované, které se obvykle nazývají Zpřístupnění mohl QRecorder vyvolat nad aplikací mobilního bankovnictví průhlednou vrstvu, která snímala zadávané přístupové údaje.
