Raiffeisen Polbank ostrzega przed złośliwą aplikacją na Androida. Przestępcy mogą wyłudzić login i hasło

Jak informuje Raiffeisen Polbank, obecność złośliwej aplikacji dostępnej do pobrania na system Android została ujawniona w trakcie prowadzonych przez bank analiz zagrożeń.

Bank nie zdradził Wirtualnej Polsce, czy zagrożenie jest na razie teoretyczne, czy niektórzy jego klienci zostali poszkodowani w ten sposób.

Aplikacja podszywa się pod multimedialną wtyczkę, która służy między innymi do wyświetlania animacji. Zainstalowanie aplikacji może skończyć się przejęciem przez przestępców kontroli nad urządzeniem.

"Po zainstalowaniu złośliwej aplikacji przestępcy mogą przejąć kontrolę nad urządzeniem, przechwycić hasła SMS oraz prezentować fałszywe strony logowania w bankowości mobilnej i tym samym wyłudzić Państwa poufne dane jak: login i hasło" - ostrzega bank.

Fałszywy ekran logowania do aplikacji mobilnej może wyglądać tak:

Jak się uchronić przed tym zagrożeniem? Bank zaleca instalowanie aplikacji mobilnych tylko z autoryzowanych sklepów oraz od zaufanych wydawców. Nie wolno za to instalować żadnych aplikacji udostępnionych poprzez link w wiadomości SMS.

Raiffeisen Polbank zwraca uwagę, że podanie loginu i hasła jest wymagane tylko w przypadku nowych użytkowników aplikacji mobilnej.

"Jeśli jesteś aktywnym użytkownikiem Mobilnego Banku lub Mobilnego Portfela, to podczas logowania do tych aplikacji nie powinieneś wpisywać ponownie swojego loginu i hasła do bankowości internetowej" - informuje bank.

Bank przesłał Wirtualnej Polsce komentarz Janusz Nawrata, dyrektora Departamentu Bezpieczeństwa Informacji i Systemów Informatycznych w Raiffeisen Polbanku:

Tego rodzaju zagrożenia – związane z atakami typu client-side, czyli wycelowane w klienta i jego urządzenia dostępowe – są dziś codziennością. Ataki, których celem były komputery, a które stosowały mechanizmy drive-by-download nie wzbudzały takich emocji, jak analogiczne ataki, których celem jest urządzenie mobilne. Tymczasem telefon też jest komputerem, nawet lepszym do zaatakowania, bo na ogół bardziej podatnym.

_Problem aplikacji z wstrzykniętym kodem tylnego wyjścia (ang: backdoor, covert channel) jest stałym i relatywnie starym problemem. Takie aplikacje pojawiały się w przeszłości dość często i najprawdopodobniej nadal będą pojawiać się w różnego rodzaju repozytoriach, włącznie z legalnymi sklepami z aplikacjami dostawców systemów operacyjnych na urządzenia mobilne. Zagrożenie dotyka w szczególnym stopniu użytkowników urządzeń mobilnych, którzy posługują się tzw. zrootowanymi telefonami (przełamane zabezpieczenia konta administratora) lub też urządzeniami, na których poluzowana została polityka zarządzania oprogramowaniem, zezwalająca na instalację aplikacji pochodzących także spoza oficjalnych repozytoriów. _

Ryzyka nie można całkowicie wyeliminować, ponieważ aplikacja z wstrzykniętym kodem (tzw. shellcode realizującym funkcje tylnego wejścia) niekoniecznie musi być sprofilowana na atakowanie klientów określonego banku. Wystarczą zaimplementowane w niej funkcje generyczne mechanizmów kontroli klawiatury (także ekranowej), ekranu, kamery, mikrofonu, sms-ów, systemu plikowego, itp. Przejęcie kontroli nad telefonem w takim zakresie daje przestępcom możliwość realizacji dowolnego scenariusza kradzieży poświadczeń tożsamości czy w dalszej kolejności popełnienia oszustwa transakcyjnego. Zatem każda aplikacja z wstrzykniętym kodem tylnego wejścia jest potencjalnie niebezpieczna dla wszystkich użytkowników systemów transakcyjnych niezależnie od tego, z jakiego banku korzystają.

_Jaka jest polityka banku w takich przypadkach? Pomagamy klientom możliwie w najszerszym stopniu, ale nie wyręczymy klientów w trosce o bezpieczeństwo urządzeń mobilnych. _

Co robimy?

* udostępniamy poradniki bezpieczeństwa, gdzie szczegółowo opisane są zasady bezpiecznego posługiwania się telefonem zarówno w bankowości internetowej, jak i mobilnej (poruszone są tam także kwestie instalacji oprogramowania z niezaufanych źródeł);

* prowadzimy monitoring zasobów Internetu pod kątem występowania i eliminacji tego rodzaju aplikacji oraz detekcji wszelkich przypadków materializacji ryzyk, w tym występowania incydentów nadużycia marki (podszycia się pod bank);

* prowadzimy na spotkaniach z klientami pokazy praktyczne tego, jak przebiegają ataki na urządzenia mobilne i jak się przed nimi bronić, bo taka forma prezentacji, w przekonaniu banku, w najwyższym stopniu kształtuje świadomość uczestników;

* informujemy klientów o zagrożeniach przy okazji kontaktów z nimi przez centrum telefoniczne oraz w oddziałach,

_* reagujemy całodobowo na incydenty bezpieczeństwa (w tym przeciwdziałamy wyprowadzeniu przez oszustów środków z rachunków zaatakowanych klientów) oraz przeprowadzamy analizy zagrożeń, by sprawniej reagować na incydenty. _

Podobne ostrzeżenie do swoich klientów skierował niedawno mBank, który opisał nowy typ ataku cyberprzestępców wymierzony w klientów bankowości mobilnej.