18/08/2017

Trojany taksówkowe nadjeżdżają

Informacje Zagrożenia

Spieszysz się, bo chcesz zdążyć do pracy, na spotkanie biznesowe, randkę. Jak zwykle uruchamiasz więc swoją ulubioną aplikację do zamawiania taksówek, lecz tym razem musisz wprowadzić numer swojej karty kredytowej. Czy to podejrzane? Pewnie nie — aplikacje zapominają informacje, a przecież wystarczy tylko podać ponownie żądany numer.

Jednak po jakimś czasie zauważasz, że z Twojego konta zniknęły pieniądze. Co się stało? Możesz mieć na telefonie trojana mobilnego. To szkodliwe oprogramowanie zostało ostatnio przyłapane na kradzieży danych bankowych poprzez udawanie interfejsu aplikacji do zamawiania taksówek.

Trojan Faketoken istnieje już od dawna i był wielokrotnie uaktualniany. Jego najnowszej wersji eksperci nadali nazwę „Faketoken.q”, a do tej pory nauczył się on wielu trików.

Sądząc po ikonie szkodliwego programu, Faketoken przedostaje się na smartfony poprzez wiadomości SMS nakłaniające do pobrania jakiegoś zdjęcia. Po zainstalowaniu koniecznych modułów trojan ukrywa swoją ikonę skrótu i rozpoczyna monitorowanie w tle wszystkiego, co dzieje się w systemie.

Ikona zainstalowanego trojana Faketoken

Najpierw trojan interesuje się rozmowami użytkownika. Gdy wykryje połączenie, uruchamia nagrywanie, a po zakończeniu rozmowy wysyła nagrania na serwer przestępców. Następnie sprawdza, których aplikacji używa właściciel smartfona.

Gdy Faketoken wykryje uruchomienie aplikacji, której interfejs jest w stanie udawać, natychmiast nakłada się na ekran. W tym celu używa on standardowej funkcji Androida, która obsługuje wyświetlanie nakładek ekranowych na wierzchu każdej innej aplikacji. Opcja ta jest używana przez wiele legalnych aplikacji, takich jak komunikatory, menedżery okien itp.

Nakładane okno przybiera te same kolory co interfejs oryginalnej aplikacji. W oknie tym trojan nakłania użytkownika do wprowadzenia numeru karty kredytowej, a także kodu weryfikacyjnego znajdującego się z tyłu karty.

Faketoken.q poszukuje aplikacji, które mają coś wspólnego: standardowo wyświetlają żądanie wprowadzenia danych płatności, które nie wzbudza podejrzeń. Wśród atakowanych aplikacji znajdują się: do bankowości mobilnej, Android Pay, pochodzące ze sklepu Google Play, do bookowania lotów i pokojów hotelowych, do opłacania mandatów — a także te do zamawiania taksówek.

Na pierwszym etapie kradzieży pieniędzy od użytkownika Faketoken przechwytuje wszystkie odbierane wiadomości SMS, ukrywa je przed użytkownikiem i przesyła na serwer przestępców, gdzie uzyskiwane są z nich hasła jednorazowe potrzebne do potwierdzania płatności.

Sądząc po niewielkiej liczbie ataków, które zarejestrowaliśmy, a także artefaktach interfejsów, możemy przypuszczać, że badacze w naszym laboratorium antywirusowym rozpoczęli badania nad jedną z wersji testowych trojana, a nie nad wersją finalną.

Musimy przyznać, że twórcy trojana Faketoken są naprawdę wytrwali. Najprawdopodobniej trojan ten zostanie przez nich jeszcze ulepszony, aby w pewnym momencie fala infekcji wylała się z jakiejś wersji „komercyjnej”.

Aktualnie trojan atakuje użytkowników w Rosji, lecz jak już wiele razy widzieliśmy, cyberprzestępcy nieustannie kradną od siebie pomysły — oznacza to, że zaadoptowanie tego triku w pozostałych krajach może nie zająć im wiele czasu. Dziś z aplikacji do zamawiania taksówek korzysta wielu mieszkańców miast, więc wspomniane tu oszustwo stanowi całkiem atrakcyjny pomysł dla twórców szkodliwych programów.

Poniżej przedstawiam kilka porad, jak się chronić przed zagrożeniem Faketoken i podobnymi trojanami mobilnymi, które kradną numery kart i przechwytują wiadomości SMS zawierające hasła jednorazowe wykorzystywane do potwierdzania płatności.

  • Przejdź do ustawień platformy Android i zablokuj możliwość instalowania aplikacji z nieznanych źródeł: Ustawienia -> Bezpieczeństwo -> usuń zaznaczenie obok opcji Nieznane źródła.
  • Zawsze zwracaj uwagę na to, jakich uprawnień dostępowych żąda aplikacja podczas instalacji — nawet jeśli pobierasz ją ze Sklepu Google Play (mogą się w nim znaleźć także trojany). Więcej informacji powiązanych z uprawnieniami systemu Android znajdziesz w tym artykule.
  • Zabezpiecz swój smartfon, instalując na nim antywirusa, który będzie potrafił rozpoznać zainfekowane aplikacje. Możesz na przykład wykorzystać nasz darmowy program Kaspersky Internet Security for Android.