Faketoken to nie jest nowość, to malware pojawiło się już jakiś czas temu, jednak mimo zarażenia tysięcy aplikacji, przeszło bez większego echa. Niestety jego twórcy się nie poddali, stworzyli nową wersję tego trojana, a następnie wypuścili ją kilka miesięcy temu na „łowy”.

Co potrafi?

Nowa wersja Faketoken wykryta została przez pracowników rosyjskiego Kaspersky Lab.

Potrafi ona zaszyfrować dane znajdujące się na urządzeniu, aby wymusić na użytkowniku zapłatę okupu pozwalającego odzyskać dostęp do nich. Jest to pierwszy trojan, który szyfruje dane multimedialne, pozostałe uznają, że użytkownik najpewniej ma ich kopię w chmurze i nie ma potrzeby. W pewnych (niepodanych) okolicznościach możliwe jest odszyfrowanie danych bez zapłaty.

Dodatkowo malware potrafi przejąc dane dostępowe do ponad 2000 aplikacji finansowych dostępnych na system Android.

Najwięcej pomyślnie przeprowadzonych ataków zostało przeprowadzonych w Rosji, na Ukrainie, w Niemczech i Tajlandii. Ich pełna liczba to 16 tysięcy, przeprowadzone je w 27 różnych krajach.

Jak działa?

Faketoken, podobnie jak inne malware tego typu, wymagają zainstalowania zarażonej aplikacji przez użytkownika. Następnie wymagane jest nadanie odpowiednich zezwoleń (praw administratora, zgody na wyświetlanie jako nakładka ponad innymi aplikacjami, czy ustalenie jako główną aplikację SMS), czyli kolejny krok wymagający działania użytkownika.

Zezwolenia te pozwalają na bezpośrednie uzyskanie podstawowych danych (kontaktów, czy plików) oraz pośrednio pozostałych danych dzięki wykorzystaniu stron phishingowych.

Przykładowe dane pobierane z serwerów w kilku wariantach językowych.

W momencie instalacji kod łączy się z serwerem twórców, a następnie pobiera dane w jednym z 77 języków, aby stworzyć odpowiednie nakładki pozwalające na uzyskanie danych od nieświadomego użytkownika. Pobrane dane wykorzystywane są następnie do stworzenia wiadomości pozwalających na przechwycenie haseł kont Gmail. Pozwalają też na stworzenie fałszywych stron Google Play, co pozwala na kradzież danych kart płatniczych.

Przykładowe nakładki stworzone przez Faketoken. Są one praktycznie nie do odróżnienia od oryginalnych.

Co dziwne, Faketoken dodatkowo tworzy własne skróty aplikacji społecznościowych, komunikatorów, czy przeglądarek. Sens może to ma, ale jeśli wiemy, że nowe ikony uruchamiają niezmodyfikowane wersje aplikacji, to wydaje się to być bezsensownym (najpewniej jeszcze niedopracowanym) ruchem.

Przejęcie danych oraz wyświetlenie odpowiedniej nakładki jest możliwe dzięki stałemu monitorowaniu uruchamianych aplikacji/ W momencie uruchomienia jednej z poszukiwanych aplikacji, malware tworzy odpowiednie nakładkę, której interfejs niczym się nie różni od tego oryginalnej aplikacji.

Trojan kradnie także przychodzące wiadomości SMS. Są one przekierowywanie do wskazanych serwerów. Umożliwia to uzyskanie dostępu do jednorazowych haseł weryfikacji innych wiadomości potwierdzających wykonywane operacje pieniężne.

Atakowane aplikacje

Badania przeprowadzonego przez Kaspersky Lab wskazują, że atakowane są głównie aplikacje transportowe – taksówkowe (np. Uber) lub powiązane z dzieleniem kosztów transportów (np. Blablacar), gdzie do płatności wymagane jest podanie karty debetowej lub kredytowej.

Oprócz tego trojan atakuje aplikacje związane z planowaniem podróży, rezerwowanie hoteli, płacenie mandatów oraz aplikację Android Pay. Oprócz tego potrafi nałożyć własne formularze w aplikacji Sklep Play.

Komentarz Kaspersky Lab

Wiktor Czebyszew, który jest ekspertem ds. cyberbezpieczeństwa firmy Kaspersky Lab, skomentował to tak:

Działalność cyberprzestępców dotyczy obecnie nie tylko aplikacji finansowych, ale również innych obszarów, łącznie z serwisami umożliwiającymi zamawianie taksówek i dzielenie kosztów transportu. To oznacza, że twórcy takich serwisów być może będą musieli zacząć zwracać większą uwagę na ochronę swoich użytkowników. Oszustwa i różne sztuczki nie są już obce branży bankowej – w odpowiedzi na te zagrożenia banki zastosowały technologie bezpieczeństwa w aplikacjach, które znacząco zmniejszyły ryzyko kradzieży krytycznych danych finansowych. Być może w ich ślady powinny pójść inne serwisy, które przetwarzają dane finansowe. Nowa wersja trojana Faketoken atakuje głównie użytkowników rosyjskich. Jednak rozkład geograficzny ataków może w przyszłości zostać łatwo rozszerzony. Miało to miejsce już wcześniej w przypadku poprzednich wersji trojana Faketoken oraz innych zagrożeń bankowych

Jak się chronić?

Tutaj mamy kilka możliwości, choć każdy z nich to ochrona bardziej doraźna:

  1. Nie instalować nieznanych aplikacji.
  2. Podczas instalacji spoza Sklepu, zachowajmy ostrożność co do pochodzenia pliku,
  3. Podczas instalacji zarówno z, jak i spoza Sklepu, uważaj jakich pozwoleń wymaga aplikacja i zastanów się, czy są one dla niej potrzebne.
  4. Zainstaluj jakiegoś antywirusa z funkcją testowania instalowanych aplikacji.

Jak już wgramy aplikację ze złośliwym kodem, to jak najszybciej trzeba ją odinstalować.

Przykładowa ikona z aplikacją zarażoną trojanem Faketoken.

Jeżeli znalazłeś/aś literówkę w tekście, to daj nam o tym znać zaznaczając kursorem problematyczny wyraz, bądź zdanie i przyciśnij Shift + Enter lub kliknij Zgłoś pomyłkę.