Na Si-Certu ponovno zaznavajo porast primerov okužb mobilnih naprav z zlonamernimi mobilnimi aplikacijami. Škodljive aplikacije napadalcu služijo pri kraji denarja iz bančnih aplikacij.
Si-Cert je o prvem valu okužb slovenskih žrtev obveščal že februarja letos. Nove zlonamerne aplikacije so se znova pojavile maja in junija.
Tokrat sta bili po poročanju podjetja Zcaler v trgovini Google Play na voljo za prenos dve škodljivi aplikaciji, in sicer “PDF Reader & File Manager” in “QR Reader & File Manager”. Zlonamerni aplikaciji sta iz družine Anatsa (tudi Teabot in Toddler), pravijo na Si-Certu.
Nakazilo običajno v nočnih urah, ko žrtve spijo
Kot pojasnjujejo na Si-Certu, zlonamerna aplikacija deluje tako, da ves čas beleži uporabniške klike in vnose ter na napadalčevo zahtevo na kontrolni strežnik periodično pošilja tudi posnetke zaslona.
S sledenjem uporabniške aktivnosti napadalcu omogoča zbiranje žrtvinih osebnih podatkov, med katerimi sta zanj najzanimivejša uporabniško ime in geslo za prijavo v aplikacijo mobilne banke.
Na podlagi prestreženih podatkov ugotovi žrtvin vzorec uporabe naprave in določi časovno okno njene neaktivnosti, v katerem lahko neovirano izvede krajo. Nakazilo običajno opravi v nočnih urah, ko žrtve spijo, opozarjajo na Si-Certu.
Napadalec z oddaljenim dostopom do popolnega nadzora
Škodljiva aplikacija omogoča samodejen prenos, namestitev in zagon orodja za zagotavljanje oddaljenega dostopa, običajno eno izmed storitev Anydesk in TeamViewer, ki napadalcu omogoča poln nadzor nad okuženo napravo.
V večini obravnavanih primerov žrtve poročajo o enakem poteku kraje, v katerem je prvi korak napadalčevo preprečevanje zaklepanja zaslona naprave, saj mu odklenjena naprava omogoča enostavno pridobivanje oddaljenega dostopa. Ob tem s kontrolnega strežnika pošlje zahtevo za onemogočanje prikaza obvestil prejetih SMS-sporočil, s čimer zakrije morebitna obvestila banke o zaznanih sumljivih transakcijah, pojasnjujejo na Si-Certu.
“Zlonamerne aplikacije družine Anatsa za izvedbo svojih zlonamernih funkcionalnosti zahtevajo pravice storitev dostopnosti (ang. Acessibility Services), zato uporabnikom svetujemo, naj aplikacijam, ki jim ne zaupajo, ne dodeljujejo omenjenih pravic. Uporabnikom, ki so namestili katero od zlonamernih aplikacij in ji omogočili uporabo storitev dostopnosti, svetujemo izvedbo ukrepov, objavljenih na spletni strani Si-Certa,” še svetujejo na Si-Certu.
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje