Fałszywa aplikacja Bolt Food

PREBYTES Security Incident Response Team -

Oszuści, wykorzystując popularną aplikację do zamawiania jedzenia Bolt Food chcą zainfekować telefony użytkowników systemu Android. Celem jest przejęcie kontroli nad urządzeniem, przechwytywanie poufnych danych i przejęcie dostępu m.in. do skrzynek pocztowych i aplikacji bankowych, a docelowo także kradzież środków pieniężnych.

Aplikacje do zamawiania jedzenia z dowozem za sprawą wygody są coraz częściej wykorzystywane przez Polaków, dlatego hakerzy wykorzystują ten fakt w cyberoszustwach.

Fałszywa strona Bolt Food

W celu dystrybuowania złośliwego oprogramowania cyberprzestępcy stworzyli dedykowaną stronę food-bolt.pl, z której rzekomo można pobrać aplikację Bolt Food. To dokładna kopia oryginalnej strony food.bolt.eu, a odnośniki zamieszczone na fałszywej stronie przekierowują na oficjalne adresy marki Bolt.

Na stronie stworzonej przez hakerów, znajduje się przycisk “DOWNLOAD NOW”, który kieruje do pobrania fałszywej aplikacji Bolt Food. Na tej stronie znajdziemy również inne odnośniki umożiwiające dostęp do aplikacji m.in w AppStore, AppGalleryGoogle Play, ten ostatni również przenosi użytkownika do procesu instalacji fałszywej aplikacji.

Złośliwe oprogramowanie na system Android

Kliknięcie w przycisk "DOWNLOAD NOW" lub "GET IT ON Google Play" powoduje uruchomienie procesu pobierania rzekomej aplikacji Bolt Food z roszerzeniem .apk, nie następuje przekierowanie do sklepu Google Play. Wyświetlony zostaje komunikat, że pobierany plik może być szkodliwy.

Tutaj powinna nam się zapalić czerwona lampka. Domyślnie wszystkie aplikacje na system Android są instalowane z poziomu oficjalnego sklepu Google Play. Pobieranie i instalowanie spoza oficjalnej platformy wiąże się z ryzykiem, a ponadto należy przekonfigurować ustawienia telefonu, aby w ogóle instalacja aplikacji spoza Google Play była możliwa.

Gdy ostatecznie złośliwa aplikacja zostanie zainstalowana, zażąda ona pełnego dostępu do urządzenia m.in. możliwości wyświetlania się nad innymi aplikacjami, zarządzania nakładkami na ekran czy czytania oraz wysyłania SMS'ów.

Jakie są skutki pobrania fałszywej aplikacji?

Pobranie fałszywej aplikacji Bold Food pozwoli hakerom np. na wyświetlanie fałszywych nakładek na aplikacje bankowe. W przypadku gdy użytkownik będzie próbował się zalogować wpisując dane logowania do bankowości, informacje te będą przechwytywane przez oszustów. Mając dane logowania i dostęp do zarządzania SMS'ami oszuści już bez ingerencji użytkownika będą mogli realizować różne operacje na koncie bankowym autoryzując je we własnym zakresie. Użytkownik nie będzie widział przychodzących wiadomości SMS z kodami autoryzacyjnymi. Będą one mogły być wykorzystywane przez oszustów np. do nadania zaufanego odbiorcy przelewu, czy realizacji płatności. Poniżej zamieszczamy krótki filmik, na którym można prześledzić, w jaki sposób dochodzi do ingerencji (tworzone są nakładki na oryginalne aplikacje) w aplikacji bankowej po zainfekowaniu złośliwym oprogramowaniem typu Alien, które jest opisywane w niniejszym artykule.

0:00
/

Użytkownik po uruchomieniu aplikacji bankowej przez moment widzi oryginalną jej wersję. Po chwili pojawia się nakładka ze złośliwego oprogramowania, dzięki możliwości wyświetlania się nad innymi aplikacjami. Warty wyjaśnienia jest fakt, że podczas uruchamiania wybranej aplikacji bankowości to złośliwe oprogramowanie wykrywa definicję danej aplikacji, na którą miało przeprowadzić atak i w tym samym czasie wyświetla fałszywą nakładkę. To co ostatecznie widzi użytkownik, jest wynikiem działania złośliwego oprogramowania, które podszywa się pod aplikację Bolt Food. Użytkownik jest proszony o podanie danych logowania, a także dodatkowych informacji, jak numer PESEL, czy nazwisko panieńskie matki. Kliknięcie przycisku "NEXT" powoduje, że nakladka znika i użytkownik widzi już oryginalną aplikację bankowości. Przy normalnym użytkowaniu tego typu aplikacji wystarczy jedynie autoryzacja wybraną metodą, aby uzyskać do niej dostęp i tym samym wgląd do konta bankowego. W omawianym przypadku przechwycenie przez cyberprzestępców wspomnianych danych powoduje, że mogą zalogować się do Twojego konta bankowego i wypłacić z niego pieniądze. Daje to oszustom pełną dowolność w zarządzaniu kontem bankowym klienta, którego dane pozyskali. Z reguły użytkownik jest nieświadomy tego, jakie operacje są wykonywane na jego koncie bankowym.

Wszystkie strony, na których cyberprzestępcy dystrybuują złośliwe oprogramowanie są przez nas blokowane w BrowserWall DNS oraz dostępne w CTI Feed. Informacja o zagrożeniu jest dostępna w chwili ujawnienia fałszywej strony.

Jak ustrzec się przed fałszywą aplikacją?

Jak w większości przypadków należy zachowywać ostrożność i weryfikować informacje na temat interesującej nas aplikacji.

  • Należy unikać instalowania aplikacji z innych źródeł niż oficjalny sklep Google Play. Domyślnie takiej możliwości nie ma i aby to zmienić, należy odpowiednio skonfigurować ustawienia telefonu.
  • Dodatkowym zabezpieczeniem jest domyślnie włączona ochrona przed szkodliwymi aplikacjami w systemie AndroidGoogle Play Protect.
  • Należy weryfikować źródła, z którego interesująca nas aplikacja pochodzi. W omawianym przypadku, chociaż przygotowana przez oszustów strona internetowa, z której można było pobrać fałszywą aplikację Bolt Food, była wizualnie identyczna z tą oryginalną to adres strony już mógł budzić podejrzenia.