FakeBank: Νέα τραπεζική κακόβουλη εφαρμογή κλέβει ευαίσθητα δεδομένα και χρήματα.
Ερευνητές ασφάλειας που δραστηριοποιούνται στο διαδίκτυο έχουν ανακαλύψει ένα mobile malware που μπορεί να παρακολουθήσει τα μηνύματα SMS των χρηστών, να κλέψει τα τραπεζικά τους στοιχεία και το χειρότερο όλων είναι ότι μπορεί να αποσπάσει τα χρήματα των χρηστών.
Σύμφωνα με τους ερευνητές της Trend Micro, το κακόβουλο λογισμικό που ονομάζεται “FakeBank” έχει εντοπιστεί σε πολλές εφαρμογές διαχείρισης SMS / MMS και απευθύνεται κυρίως σε θύματα στη Ρωσία και άλλες Ρωσόφωνες χώρες.
«Αυτές οι περιβόητες δυνατότητες διαχείρισης SMS στρέφονται εναντίον του θύματος. Το κακόβουλο λογισμικό συλλαμβάνει τα SMS που περιέχουν ιδιωτικές πληροφορίες σε και οι χάκερς τα εκμεταλλεύονται για να κλέψουν χρήματα από τις μολυσμένη συσκευές των χρηστών μέσω των συστημάτων κινητής τραπεζικής τους», ανέφερε η Trend Micro σε μία ανάρτηση στο blog της που δημοσιεύθηκε την Τετάρτη (10 Ιανουαρίου).
Οι ερευνητές έχουν παρατηρήσει ότι το κακόβουλο λογισμικό στοχεύει σε πελάτες πολλών Ρωσικών χρηματοπιστωτικών ιδρυμάτων όπως η Sberbank, η Leto Bank και η VTB24 Bank. Έχει επίσης εντοπιστεί στην Κίνα, την Ουκρανία , τη Ρουμανία και τη Γερμανία, μεταξύ των άλλων χωρών.
Αφού εγκατασταθεί σε ένα μολυσμένο τηλέφωνο, το κακόβουλο λογισμικό αντικαθιστά το προεπιλεγμένο πρόγραμμα διαχείρισης SMS στη συσκευή, με το δικό του, κρύβοντας το εικονίδιο της γνήσιας εφαρμογής. Αυτό επιτρέπει στο κακόβουλο λογισμικό να παρακολουθεί και να αναλύει κάθε ληφθέντα SMS και ακόμη και να διαγράφει μηνύματα.
«Αυτό σημαίνει ότι οποιαδήποτε επαλήθευση ή ερώτημα από την τράπεζα προς το χρήστη μπορεί να παρακαμφθεί και να αφαιρεθεί. Μπορεί ακόμη να καλέσει έναν αριθμό τηλεφώνου, να στείλει συγκεκριμένα μηνύματα SMS και να κλέψει καταλόγους κλήσεων και λίστες επαφών» ανέφεραν οι ερευνητές. «Όμως το πιο σημαντικό είναι ότι, όλη αυτή η πρόσβαση στα SMS της συσκευής δίνει στο κακόβουλο λογισμικό τη δυνατότητα να κλέβει τα χρήματα από τον τραπεζικό λογαριασμό των χρηστών».
Εκτός από τον έλεγχο της ανοικτής και κλειστής λειτουργίας της συσκευής, η κακόβουλη εφαρμογή μπορεί να συνδεθεί ανεμπόδιστα και κρυφά στο διαδίκτυο και να στείλει τις κλεμμένες πληροφορίες στον εξυπηρετητή ελέγχου (C&C) χωρίς την γνώση του χρήστη.
Δεδομένου ότι πολλοί χρήστες συνδέουν τους τραπεζικούς τους λογαριασμούς με τα τηλέφωνά τους και επιλέγουν να λαμβάνουν ειδοποιήσεις κειμένου, το κακόβουλο λογισμικό μπορεί να αποκτήσει πρόσβαση σε αυτά τα μηνύματα για να κλέψει ευαίσθητα στοιχεία τραπεζικών λογαριασμών , όπως μηνύματα κώδικα ασφαλείας.
Οι κυβερνοεγκληματίες μπορούν στη συνέχεια να χρησιμοποιήσουν τα κλεμμένα δεδομένα για να συνδεθούν στους διαδικτυακούς τραπεζικούς λογαριασμούς των θυμάτων, να επαναφέρουν τους κωδικούς πρόσβασης και να μεταφέρουν κρυφά τα χρήματα στους δικούς τους λογαριασμούς.
Το FakeBank μπορεί επίσης να κλέψει ευαίσθητες πληροφορίες από τη συσκευή, συμπεριλαμβανομένων των αριθμών τηλεφώνου των χρηστών, μια λίστα με εγκατεστημένες τραπεζικές εφαρμογές, το υπόλοιπο των χρημάτων σε μια συνδεδεμένη τραπεζική κάρτα και τα δεδομένα της θέσης του ατόμου που έχει εγκατεστημένη την εφαρμογή.
Οι ερευνητές παρατήρησαν ότι ορισμένα δείγματα του κακόβουλου λογισμικού που ζητούσαν δικαιώματα διαχειριστή από το χρήστη, επέτρεπαν στους επιτήδειους περαιτέρω πρόσβαση στη χακαρισμένη συσκευή.
«Το FakeBank επίσης εμποδίζει τον χρήστη να ανοίξει τη νόμιμη εφαρμογή της τράπεζας, για να αποτρέψει τυχόν τροποποιήσεις στη τραπεζική του κάρτα», ανέφεραν οι ερευνητές. «Μπορούμε να υποθέσουμε ότι ο προγραμματιστής του κακόβουλου λογισμικού είναι πολύ εξοικειωμένος με τη μορφή τραπεζικών μηνυμάτων και τη διαδικασία μεταφοράς χρημάτων, καθώς όλες οι ειδοποιήσεις SMS πληρωμής στέλνονται στο δικό του διακομιστή.
Για να διασφαλίσει ότι πραγματοποιεί με επιτυχία τις κακόβουλες δραστηριότητές του, το κακόβουλο λογισμικό αποτρέπει τους χρήστες από το άνοιγμα των ρυθμίσεων συσκευών “που ενδέχεται να αποτρέψουν την εγκατάσταση”, ανέφεραν οι ερευνητές. Επιθεωρεί επίσης τη συσκευή για οποιοδήποτε λογισμικό προστασίας από ιούς, ούτως ώστε να παραμείνει απαρατήρητο σε οποιεσδήποτε συνθήκες.
«Αυτή είναι μια τακτική που βοηθά στην κακόβουλη εφαρμογή να παραμείνει αόρατη και να μην μπορεί να την ανιχνεύσει ακόμη και ο πιο εξειδικευμένος προγραμματιστής», εξηγεί η Trend Micro. «Ένα από τα αξιοσημείωτα στοιχεία αυτού του κακόβουλου λογισμικού είναι ο τρόπος με τον οποίο κρύβεται το ωφέλιμο φορτίο του. Το κακόβουλο λογισμικό έχει διαφορετικές συμπεριφορές που δυσκολεύουν τους μολυσμένους χρήστες να το ξεφορτωθούν.
