Latarka na Androida podejrzy co robisz i wykradnie Ci hasła!
#1
Użytkownicy urządzeń z systemem Android po raz kolejny znaleźli się na celowniku cyberprzestępców. Tym razem atakuje ich zagrożenie, podszywające się pod pozornie niegroźną aplikację, zamieniającą telefon w latarkę (Flashlight LED Widget). Z analizy ekspertów z firmy ESET wynika, że celem złośliwej aplikacji jest kradzież danych do logowania się m.in. do aplikacji bankowej Commbank, Facebooka, Instagrama czy WhatsAppa. Dodatkowo aplikacja potrafi podglądać użytkownika i rejestrować to co robi w postaci zdjęć. 

[Aby zobaczyć linki, zarejestruj się tutaj]

Zagrożenie wykrywane przez ESET jako Trojan.Android/Charger.B, oprócz dostarczania obiecanej funkcji latarki, posiada dodatkowe możliwości - kradnie dane logowania do aplikacji bankowych np. Commbank, NAB i Westpac Mobile Banking czy portali społecznościowych, w tym Facebooka i Instagrama. Zagrożenie może wyświetlać użytkownikowi ekrany wyglądające niemal identycznie jak oryginalne ekrany startowe aplikacji do bankowości elektronicznej. Następnie złośliwa aplikacja potrafi blokować zainfekowane urządzenia, aby ukryć złośliwą działalność, przechwytywać SMS-y służące do autoryzacji transakcji i wyświetlać fałszywe powiadomienia w celu omijania dwuskładnikowego uwierzytelniania. Wszystkie te działania mają służyć kradzieży pieniędzy z kont użytkowników. Zagrożenie może infekować wszystkie wersje systemu Android. 

Działanie złośliwej aplikacji

Po zainstalowaniu i uruchomieniu, aplikacja żąda przyznania uprawnień administratora. Dzięki temu potrafi ukryć swoją ikonę i pojawiać się na ekranie urządzenia wyłącznie jako widget latarki. Po uruchomieniu aplikacji jej złośliwe funkcje są rozszyfrowywane i uruchamiane w tle – użytkownik nawet nie wie, że na jego smartfonie zaczyna właśnie działać bardzo sprytny szpieg. Następnie trojan rejestruje urządzenie na serwerze cyberprzestępców i wysyła informacje o urządzeniu oraz robi zdjęcia właściciela przy użyciu aparatu, zamontowanego z przodu telefonu. Ciekawym jest fakt, że w razie zainfekowania urządzenia, którego lokalizacja wskazuje na Rosję, Ukrainę lub Białoruś, serwer zarządzający dezaktywuje zagrożenie. Prawdopodobnie cyberprzestępcy stojący za tą aplikacją, pochodzą właśnie z tych krajów i w ten sposób chcą uniknąć działań tamtejszych organów ścigania. 

Jak mogę usunąć złośliwą aplikację? 

Jeśli niedawno pobrałeś aplikację Flashlight z Google Play, możesz sprawdzić, czy urządzenie nie zostało zainfekowane. W tym celu należy wejść w Ustawienia> Menedżer aplikacji> Widget latarki.
Odnalezienie aplikacji jest proste. Niestety jej dezinstalacja już nie. Trojan próbuje zapobiec usunięciu, nie pozwalając użytkownikowi na wyłączenie uprawnień administratora – to niezbędne do usunięcia tej aplikacji.  Aplikację można usunąć wyłącznie uruchamiając urządzenie w trybie awaryjnym. 

Źródło: ESET
Odpowiedz
#2
(03.05.2017, 19:41)Mikołaj napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeśli niedawno pobrałeś aplikację Flashlight z Google Play

I tu pytanie w stronę Google: jak to się dzieje, że aplikacja która wg. opisów itp. ma być latarką ma bankowo w manifeście bardzo szerokie uprawnienia, w tym także prośbę o zostanie administratorem urządzenia (bo jak rozumiem, to jest wykorzystywane, tu potrzeba interakcji użytkownika) a przechodzi to testy przed dodaniem do sklepu? Ja wiem, że testy są zautomatyzowane i tylko w nielicznych przypadkach robią coś ludzie ale... połączenie słowa "flashlight" w tytule z szerokimi uprawnieniami powinno wymagać ręcznego sprawdzania.
Odpowiedz
#3
Google ma chyba ten sam problem co Apple - myślą że ich systemy są z założenia bezpieczne.
@lukasamd twoje pytanie ma jedną odpowiedz: Logika, najwyraźniej ich systemy weryfikacyjne jeszcze jej nie znają Wink
Odpowiedz
#4
Obawiam się jednak, że na iOS lepiej to wygląda. Ale podejdę do tego z drugiej strony - jeśli w iOS 10 będzie jakiś wadliwy, dziurawy mechanizm, a łata pojawi się dopiero w iOS 11, to jestem pewny że dostanę tę aktualizację w kilka godzin po notatce prasowej o udostępnieniu nowej wersji. Owszem, po 5 latach od premiery telefonu mogę nie dostać nowej wersji systemu, ale przez 3 spokojnie mogę się bawić nowym oprogramowaniem.

Natomiast na Androidzie takiej pewności nie ma. Jak miałem Lumię, to harmonogram wprowadzania aktualizacji zależał od kraju, modelu telefonu i operatora Grin, bo pamiętam przepastną tabelę z podziałem.

Znalazłem dość konkretną listę "Malware for iOS":

[Aby zobaczyć linki, zarejestruj się tutaj]

Problem jednak w tym, że:
- prawie wszystkie zagrożenia dotykają telefonów z jailbreak (więc Apple jest tutaj siłą rzeczy niewinne)
- jedno zagrożenie dotyczyło śmiesznego komunikaciku w Safari (a na Andku fałszywe komunikaty na stronach są bardzo popularne - i to jeszcze potrafi śmieć wibrować), ale wystarczy zamknąć kartę, bo strona nie zawiesza całej przeglądarki
- kilka zagrożeń potrzebowało obfuskacji kodu i dodatkowego API żeby ominąć procedury filtrowania w AppStore (

A na Andku latarka to spore zagrożenie...
Ale żeby było miło, to powiem że Windows Mobile pewnie będzie najbezpieczniejszy. Ciekawe dlaczego.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#5
Jaką Lumię miałeś?
Bo teraz to w nich zmienili.

Odnośnie ajklocków - w komputerach znajomi używają bitdefendera - o dziwo po pół roku mają w kwarantannie po kilka ransomów. Może jak mi się uda to je wyciągnę od nich do testów.
Telefony - tam chyba po 2 latach aktualizacje zostają sztucznie uszkodzone i model 2 letni dostaje nagle lagi w systemie. Przynajmniej tak było na tych jakie mi wpadły w ręce.

WM? Bo jest zamknięty Smile
Odpowiedz
#6
(05.05.2017, 15:11)rogacz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Jaką Lumię miałeś?
520->820->920
(05.05.2017, 15:11)rogacz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Bo teraz to w nich zmienili.
No, na jeszcze gorzej Grin
(05.05.2017, 15:11)rogacz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Telefony - tam chyba po 2 latach aktualizacje zostają sztucznie uszkodzone i model 2 letni dostaje nagle lagi w systemie. Przynajmniej tak było na tych jakie mi wpadły w ręce.
Tam. Chyba. Nagle. Przynajmniej. Jakie. Wpadły. Kurde nie wiem co ma zrobić kumpel, któremu działa 5S z 2013 roku z iOS 10. Owszem potrafi się przydusić przy mocnych apkach, ale to jednak 2013 rok - czasy Galaxy S4 i Lumii 925.
(05.05.2017, 15:11)rogacz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

WM? Bo jest zamknięty
To jaki jest iOS?
Ciekawe co będzie z wirusami jak będzie można odpalać apki Win32 na mitycznym Surface Phone Grin. Miazga.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#7
(05.05.2017, 14:23)Tajny Współpracownik napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

- jedno zagrożenie dotyczyło śmiesznego komunikaciku w Safari (a na Andku fałszywe komunikaty na stronach są bardzo popularne - i to jeszcze potrafi śmieć wibrować), ale wystarczy zamknąć kartę, bo strona nie zawiesza całej przeglądarki

Obawiam się, że jak Apple zajmie się lepszą implementacją API z HTML5 (bo na razie jest z tym u nich słabo) to też będzie to możliwe:

[Aby zobaczyć linki, zarejestruj się tutaj]

To nie kwestia Androida, ale raczej przeglądarki. Chrome to wspiera, Firefox też.. no i mogą wibrować. Inna sprawa, że przeglądarka powinna mieć możliwość odgórnej blokady, tak samo jak możemy odrzucać prośby z notification API. Tutaj twórców przeglądarek nie ogarniam - np. chrome (mowa o wersji desktop) potrzebuje rozszerzenia aby blokować autoplay na elementach HTML5. W Safari można to wyłączyć na poziomie jednej z flag przeglądarki.

(05.05.2017, 15:11)rogacz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Odnośnie ajklocków - w komputerach znajomi używają bitdefendera - o dziwo po pół roku mają w kwarantannie po kilka ransomów. Może jak mi się uda to je wyciągnę od nich do testów.

Ja miałem go na chwilę, ale potem, aż po dziś dzień, zupełnie nic - raz na miech skan MBAM i też nic. Ale to też kwestia użytkowania, na Windows też jakoś nie natrafiłem na szkodniki.

(05.05.2017, 16:14)Tajny Współpracownik napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Ciekawe co będzie z wirusami jak będzie można odpalać apki Win32 na mitycznym Surface Phone

Będzie się działo <3
Odpowiedz
#8
(05.05.2017, 22:37)lukasamd napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Tutaj twórców przeglądarek nie ogarniam - np. chrome (mowa o wersji desktop) potrzebuje rozszerzenia aby blokować autoplay na elementach HTML5. W Safari można to wyłączyć na poziomie jednej z flag przeglądarki.

Bo człowiek (zwykły człowiek, nie nerdy z forów komputerowych) prędzej ściągnie 'apkę' lub dodatek z ładnym UI, niż wyedytuje plik konfiguracyjny - stara się uniknąć tego, co wygląda na zaawansowane i profesjonalne, jak edycja plików konfiguracyjnych.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#9
Ale czemu edycja plików? Nie dałoby się w ustawieniach zaawansowanych tak jak jest np. wstrzymywanie flasha?
Odpowiedz
#10
Jak jest tych ustawień za dużo, ludzie też się w nich gubią.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#11
W te zaawansowane to pewnie i tak niewiele osób zagląda, grunt, aby się dało.
Odpowiedz
#12
Może by się dało Tongue Ale niestety taka jest polityka systemów mobilnych - użytkownik ma mieć jak najmniej władzy nad swoim urządzeniem Tongue
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości