Wyobraźnia twórców wirusów nie zna granic. Niektóre aplikacje ransomware potrafią już generować kryptowalutę, a część trojanów bankowych szantażuje ofiary. Chociaż nazwa Faketoken może nie kojarzyć się zbyt poważnie, ten trojan bankowy dla urządzeń z systemem Android naprawdę potrafi wyrządzić szkody.
Faketoken: od kradzieży SMS-ów po pełnoprawny trojan bankowy
O trojanie bankowym Faketoken wiemy już od jakiegoś czasu — w 2014 roku znalazł się on na naszej liście 20 najbardziej rozpowszechnionych zagrożeń mobilnych. Wtedy działał wraz z trojanami bankowymi dla urządzeń stacjonarnych. Aplikacja przeznaczona na komputery stacjonarne włamywała się na konta ofiar i wypłacała pieniądze, a trojan Faketoken przechwytywał wiadomości tekstowe zawierające hasła jednorazowe autoryzujące transakcję.
W 2016 roku Faketoken stał się pełnoprawnym mobilnym trojanem bankowym, kradnącym pieniądze bezpośrednio od ofiar. Nakładał on na inne aplikacje fałszywe okna, w których użytkownicy wprowadzali swoje dane logowania, hasła i informacje związane z kartami bankowymi. Ponadto okazał się być ransomware, blokującym ekrany zainfekowanych urządzeń i szyfrującym znajdujące się na nich pliki.
W 2017 roku Faketoken potrafił naśladować wiele aplikacji (np. aplikacje bankowości mobilnej, e-portfele, takie jak Google Pay, a nawet aplikacje taksówkowe czy służące do uiszczania opłaty za grzywny), dzięki czemu mógł kraść dane związane z kontami bankowymi.
Niespodziewana zmiana sytuacja dla trojana Faketoken
Niedawno nasz system monitorowania aktywności botnetów — Botnet Attack Tracking — wykrył, że 5 000 smartfonów zainfekowanych trojanem Faketoken zaczęło wysyłać obraźliwe wiadomości tekstowe. To wydało się nam dziwne.
Możliwość wysyłania SMS-ów jest już standardową funkcją szkodliwych aplikacji mobilnych. Wiele z takich aplikacji rozprzestrzenia się poprzez wysyłanie do kontaktów ofiar linków do pobrania. Ponadto trojany bankowe często dążą do tego, aby użytkownik uczynił je aplikacją domyślną do obsługi SMS, aby mogły przechwytywać wiadomości zawierające kody potwierdzające. Jednak nigdy wcześniej nie widzieliśmy, aby złośliwe oprogramowanie bankowe było przekształcane w narzędzie do masowego wysyłania wiadomości.
SMS za granicę – na Twój koszt
Za wysyłane przez trojana Faketoken wiadomości płaci właściciel zainfekowanego urządzenia. Zanim jednak cokolwiek zostanie wysłane, szkodnik sprawdza, czy na rachunku bankowym ofiary znajduje się wystarczająca kwota. Jeśli tak, przed wysłaniem wiadomości złośliwe oprogramowanie doładowuje konto mobilne przy użyciu karty.
Wiele smartfonów zainfekowanych trojanem Faketoken wysyłało wiadomości na numer zagraniczny, a więc rachunek do zapłaty przez ofiarę był całkiem spory.
Jak zapewnić sobie bezpieczeństwo przed trojanem przed Faketoken
Na tę chwilę nie wiadomo, czy jest to jednorazowa kampania, czy początek trendu. Aby jednak uniknąć infekcji:
- Instaluj wyłącznie te aplikacje, które znajdują się w sklepie Google Play, a także wyłącz w ustawieniach telefonu możliwość pobierania aplikacji z innych źródeł.
- Nie klikaj linków w wiadomościach, chyba że masz pewność, że są bezpieczne — dotyczy to także wiadomości otrzymanych od osób, które znasz. Jeśli na przykład ktoś, kto zwykle publikuje zdjęcia w mediach społecznościowych lub wysyła je za pośrednictwem komunikatorów, nagle wysłał do Ciebie wiadomość tekstową zawierającą łącze, zachowaj czujność.
- Zainstaluj niezawodne rozwiązanie zabezpieczające. Kaspersky Internet Security for Android wykrywa i blokuje trojana Faketoken, jak również wiele innych szkodliwych aplikacji na urządzenia mobilne.