Sklep Play to teoretycznie miejsce skąd można bezpiecznie pobrać aplikacje i zainstalować je na swoim urządzeniu. Teoretycznie, bo liczba aplikacji jest tak duża, że ani program, ani pracownicy Google nie są czasem w stanie przetestować wszystkich nowych programów. A jak się okazuje, nawet test nie zawsze pozwala na wykrycie zagrożenia.

W poprzednim miesiącu, pracownicy Avasta, ESET oraz SfyLabs, odkryli kolejną wersję trojana kryjącego się pod nazwą BankBot. Jest to już przynajmniej jego piąta wersja odkryta w Google Play. Poprzednie cztery na szczęście już użytkownikom nie zagrażają, ale jak widać pojawiają się kolejne o coraz lepszych metodach ukrywania się przed skanerem chroniącym Sklep (i nas).

To już kolejny, po ExpensiveWall, czy Faketoken, trojan wykryty w tym kwartale.

Cel

BankBot, to kolejny trojan, którego zadaniem jest kradzież danych do logowania się do kont bankowych użytkowników. W tym wypadku różne jego wersje na cel obrały sobie banki Wells Fargo, Chase, ING DiBa oraz CitiBank. W niebezpieczeństwie znaleźli się głównie klienci tych banków pochodzący z USA, Australii, Niemiec, Holandii, Francji, Polski, Hiszpanii, Portugalii, Grecji, Rosji, Turcji, Republiki Dominikany, Singapuru, czy Filipin.

Aplikacja działa na zasadzie wyświetlania nakładek nad prawdziwe okna wyświetlane przez aplikacje tych banków. Dzięki temu w momencie, gdy przeprowadzamy normalną operację, dodatkowo możemy zezwolić aplikacji na uzyskanie dostępu do danych konta lub po prostu przejęcie praw nad kontrolą aplikacji bankowej.

Działanie

Filmik autorstwa Avasta. Jeśli mamy dobre oko, to możemy zauważyć moment, gdy po uruchomieniu (oficjalnej) aplikacji jednego z czeskich banków, tworzona jest nakładka (przynajmniej w teorii, bo ja nic nie widzę…).

Aby skaner Sklepu nie wykrył kodu w zarażonej aplikacji, jest on pobierany dopiero po wykryciu kompatybilnej aplikacji bankowej. Sama aplikacja zawiera jedynie skaner uruchamianej aplikacji oraz kod pobierający samego BankBota. Dalej, mimo że jest on zainstalowany, niewiele może zrobić.

Na szczęście, zmiany w dozwolonych pozwoleniach dla aplikacji w Sklepie spowodowały, że nawet po pobraniu aplikacji z trojanem, to my, jako użytkownik, musimy włączyć Nieznane Źródła oraz zgodzić się na instalację nowej aplikacji. Ani aplikacja zarażona, ani tym bardziej jeszcze niezainstalowany BankBot, nie są w stanie doprowadzić same do jego instalacji.

Jeśli jednak go zainstalujemy, to po instalacji wyświetlany jest monit, oczywiście nie dla BankBota, ale np. Sklepu Play, aktualizatora systemu, czy innej aplikacji systemowej z prośbą o nadanie jej praw administratora urządzenia. To powinno nas zastanowić.

BankBot posiada także już jako administrator możliwość przejmowania otrzymywanych od banku wiadomości tekstowych z kodami wymaganymi do przeprowadzania działań na koncie – zmian danych, czy przelewów.

Zarażone aplikacje

Wykryte aplikacje zarażone trojanem BankBot.

Wykryte aplikacje zarażone trojanem BankBot.

Najnowsza wersja tego trojana została jak na razie wykryta w 3 aplikacjach – Tornado Flashlight, Lamp For DarkNess oraz Sea Flashlight. Wykryte zostało to już 13 października, jednak dopiero teraz podano tę informację do wiadomości ogółu.

Wykryte aplikacje na szczęście już zostały usunięte ze Sklepu, ale nie znaczy to, że trojan został z niego wypleniony. Na to nie ma co jeszcze liczyć.

Zabezpieczenie

Jest takie jak zawsze – uważajmy, co instalujemy.

Zapamiętajmy też, że Sklep, ani żadna inna aplikacja systemowa, nie wymagają praw administratora, one już je mają.

Przyglądajmy się ocenom przed instalacją aplikacji, a tym bardziej wymaganym przez nie pozwoleniom.
Przykładowo, na co grze dostęp do telefonu, czy wiadomości (i to często Premium)?

Na szczęście aplikacje udostępniane w Sklepie Play nie mogą korzystać z opcji zwanej Ułatwienia dostępu.
Dzięki temu same mogłyby instalować inne aplikacje, czy nadawać sobie uprawnienia administratora.

Jeżeli znalazłeś/aś literówkę w tekście, to daj nam o tym znać zaznaczając kursorem problematyczny wyraz, bądź zdanie i przyciśnij Shift + Enter lub kliknij Zgłoś pomyłkę.