Πώς o Android Spy Agent κλέβει χρήματα μέσω smartphone και τι να κάνετε

Πώς o Android Spy Agent κλέβει χρήματα μέσω smartphone και τι να κάνετε
Κακόβουλο λογισμικό που τρυπώνει σε smartphone Android ως Flash Player εμφανίζει πλαστή φόρμα για την εισαγωγή των στοιχείων εισόδου του χρήστη σε υπηρεσίες e-banking, αντιγράφοντας αυτή στο smartphone του χρήστη από το έγκυρο app της τράπεζας. Οι ειδικοί σε θέματα ασφαλείας από την εταιρεία ESET βεβαιώνουν πως το malware έχει ήδη χτυπήσει χρήστες υπηρεσιών e-banking μέσω smartphone στις μεγαλύτερες τράπεζες τριών χωρών. Σημειώνουν δε, πως ο κώδικας του "Android/Spy.Agent.SI" μπορεί να παρακάμψει ακόμα και το δεύτερο επίπεδο ασφάλειας, με την αποστολή κωδικών μιας χρήσης μέσω SMS.

Η επιχείρηση ξεκινά από το κατέβασμα και την εγκατάσταση του malware, το οποίο διατίθεται σε πολλαπλά σημεία υπό μορφή πακέτου .apk (εφαρμογή Android) ως o γνωστός Flash Player. Με την εγκατάσταση στο smartphone, ο χρήστης καλείται να του παραχωρήσει δικαιώματα διαχειριστή (δηλαδή, δικαιώματα «ζωής και θανάτου» στη συσκευή) που επιτρέπουν σε αυτούς που βρίσκονται πίσω από το malware, μεταξύ άλλων, να εμποδίσουν την απεγκατάσταση της εφαρμογής.

Το Android/Spy.Agent.SI εμφανίζει στα θύματα μια πλαστή έκδοση της οθόνης σύνδεσης των τραπεζικών εφαρμογών και κλειδώνει την οθόνη μέχρι να εισαχθούν το όνομα χρήστη και ο κωδικός πρόσβασης. Χρησιμοποιώντας τα κλεμμένα δεδομένα σύνδεσης, οι κυβερνοεγκληματίες μπορούν στη συνέχεια να συνδεθούν στο λογαριασμό του θύματος από απόσταση και να μεταφέρουν χρήματα. Μπορούν επίσης να χρησιμοποιήσουν το κακόβουλο λογισμικό για να στείλουν όλα τα μηνύματα κειμένου SMS που έχουν ληφθεί στη μολυσμένη συσκευή, καθώς και να τα αφαιρέσουν.

«Αυτό επιτρέπει την παράκαμψη της πιστοποίησης διπλού παράγοντα που χρησιμοποιεί SMS για να ανιχνεύει παράνομες συναλλαγές, χωρίς να υποψιαστεί οτιδήποτε ο ιδιοκτήτης της συσκευής» εξηγεί ο Lukáš Štefanko, Ερευνητής Malware της ESET με εξειδίκευση σε θέματα κακόβουλου λογισμικού σε Android.

Τι πρέπει να κάνετε σε ανάλογες περιπτώσεις


Εντούτοις, οι ειδικοί της ESET σημειώνουν πως υπάρχουν τρόποι να αναχαιτιστεί η επίθεση. Ο χρήστης καλείται να αφαιρέσει τα δικαιώματα διαχειρστή από την εφαρμογή, δεν είναι όμως βέβαιο ότι η προσπάθεια αυτή θα έχει αίσιο τέλος.

Μεταβείτε διαδοχικά στις ακόλουθες επιλογές: Settings -> Security -> Device administrators -> Flash Player-> Deactivate

εντολές με τις οποίες αφαιρείτε τα δικαιώματα διαχειριστή από το συγκεκριμένο app. Έπειτα, μπορείτε να προχωρήσετε στην απεγκατάσταση του app:

Settings -> Apps/Application manager -> Flash Player -> Uninstall

Εντούτοις, εάν μεσολαβήσει συνεδρία με το κέντρο ελέγχου του malware, ο επιτιθέμενος μπορεί να προλάβει να εμποδίσει την αφαίρεση των δικαιωμάτων διαχειριστή από το app -το κουμπί επιβεβαίωσης (Confirm) δεν είναι πουθενά ορατό και ο χρήστης μένει με την ψευδη εντύπωση ότι αφαίρεσε τα δικαιώματα, ωστόσο αργότερα διαπιστώνει ότι δεν μπορεί να προχωωρήσει στο Uninstall.

Η ενδεδειγμένη μέθοδος στο δεύτερο σενάριο είναι η εκκίνηση της συσκευής σε Safe Mode, κατάσταση που αποτρέπει την φόρτωση και εκτέλεση app τρίτων πριν αυτών του συστήματος. Έτσι, μπορεί ο χρήστης να αφαιρέσει τα δικαιώματα διαχειριστή από το κακόβουλο app του Flash Player.

Πλήγμα σε τράπεζες στην Αυστραλία, τη Νέα Ζηλανδία και την Τουρκία


Το malware εξελίσσεται συνεχώς. Ενώ οι πρώτες εκδόσεις του ήταν απλές και ο κακόβουλος σκοπός αναγνωριζόταν εύκολα, οι πιο πρόσφατες εκδοχές είναι πιο πολύπλοκες και εμφανίζουν καλύτερη κρυπτογράφηση.

Η εκστρατεία, που ανακαλύφθηκε από τους ερευνητές της ESET, στοχεύει μεγάλες τράπεζες στην Αυστραλία, τη Νέα Ζηλανδία και την Τουρκία. Στην πραγματικότητα, τα 20 χρηματοπιστωτικά ιδρύματα που έχει στοχεύσει μέχρι σήμερα η εφαρμογή αποτελούν τις μεγαλύτερες τράπεζες σε κάθε μία από τις τρεις χώρες.

«Η επίθεση ήταν μαζική και μπορεί εύκολα να επικεντρωθεί ξανά σε οποιοδήποτε άλλο σύνολο τραπεζών», προειδοποιεί ο Lukáš Štefanko.

Περισσότερες λεπτομέρειες για την εκστρατεία, το κακόβουλο λογισμικό που χρησιμοποιείται και, κυρίως, πώς μπορούν οι χρήστες να αφαιρέσουν αυτή την κακόβουλη εφαρμογή από τις συσκευές βρίσκονται στη σχετική ανάλυση του Lukáš Štefanko στο επίσημο blog για την IT ασφάλειας της ESET, το WeLiveSecurity.com.