Przestępcy doskonale wiedzą, że coraz więcej osób korzysta z dostępu do bankowości przez smartfona, więc opracowują kolejne złośliwe aplikacje, które mają wykradać wrażliwe dane z telefonu i tym samym umożliwiać przejęcie kontroli nad rachunkiem. W zidentyfikowanym w tym roku trojanie HookBot jego twórcy zawarli ponad 770 formularzy podszywających się pod legalne aplikacje, w tym aż 24 w polskiej domenie (.pl).
Trojan HookBot jest złośliwym oprogramowaniem, którego celem jest uzyskanie dostępu do prywatnych informacji użytkownika, takich jak hasła do bankowości internetowej, poczty elektronicznej, portfeli kryptowalutowych, czy też popularnych serwisów społecznościowych. Wśród przygotowanych formularzy podszywających się pod aplikację z domeny .pl znalazło się kilka banków (m.in. EnveloBank, ING Bank Śląski, mBank, Santander Bank Polska), serwisy sprzedażowe (Allegro, Rossmann) czy porównywarka cenowa (Ceneo), a także najpopularniejsze serwisy społecznościowe (Twitter, Facebook, Instagram) i aplikacje obsługujące portfele kryptowalutowe.
Działanie HookBota
HookBot jest rozpowszechniany przez fałszywe aplikacje podszywające się pod legalne, często popularne oprogramowanie. Trojan jest tak przygotowany, że może przedstawiać się jako niegroźna, przydatna dla użytkownika aplikacja, np. przeglądarka Google Chrome.
Po zainfekowaniu urządzenia, złośliwe oprogramowanie uzyskuje dostęp do funkcji systemowych pozwalających na śledzenie i przechwytywanie poufnych informacji. Analitycy Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego Komisji Nadzoru Finansowego (CSIRT KNF) rozpoznali szereg działań, które mają zostać wykonane przez złośliwe oprogramowanie po zainstalowaniu go na atakowanym urządzeniu. Jednym z nich jest tzw. eskalacja uprawnień. Proces ten polega na uzyskaniu przez złośliwe oprogramowanie przywilejów, które nie są nadawane standardowo.
HookBot dla eskalacji uprawnień wykorzystuje tzw. usługę dostępności (ang. accessibility services) przeznaczoną dla osoby z niepełnosprawnościami, mającą ułatwić korzystanie z urządzenia. Nowością w porównaniu do innych rodzin złośliwego oprogramowania jest obsługa oprogramowania WhatsApp – trojan potrafi odczytywać, pisać i wysyłać wiadomości w tym komunikatorze.
Uaktywnienie oprogramowania następuje w momencie, gdy posiadacz zainfekowanego urządzenia uruchomi na nim aplikację znajdującą się na liście celów oszustów. Wówczas złośliwe oprogramowanie wyświetli fałszywą stronę logowania do uruchomionej usługi.
Przykładowo – jeżeli na liście celów przestępców jest aplikacja bankowa, a użytkownik zainfekowanego smartfona zechce zalogować się do bankowości, to zamiast oryginalnej aplikacji wyświetli mu się fałszywe okno logowania. Jeżeli nie zorientuje się w sytuacji i wprowadzi swoje dane logowania, zostaną one przesłane do serwera kontrolowanego przez złośliwe oprogramowanie. Mechanizm dwuskładnikowego uwierzytelniania z wykorzystaniem SMS-ów nic nie pomoże, gdyż otrzymane kody SMS mogą zostać odczytane i również przesłane do przestępców.
Jak się ustrzec zagrożenia?
Opis specyfiki działania HookBota brzmi groźnie, ale istnieją proste sposoby uchronienia się przed zainfekowaniem nim swojego telefonu. Oto najważniejsze zasady bezpieczeństwa, które pozwolą uniknąć kłopotów:
Dlaczego to wszystko jest takie ważne? Z prostego powodu – nasz telefon, tablet czy komputer są kluczem do bankowości, z której korzystamy. Przejęcie kontroli nad urządzeniem sprawi, że przestępcy bez trudu dostaną się do naszych pieniędzy i zarządzą nimi według własnego uznania. Stąd nawet korzystanie z otwartych sieci Wi-Fi może być niebezpieczne, gdyż mogą być one pod kontrolą przestępców.
