Fałszywa aplikacja "Crypto Navigator" dostępna w Sklepie Google Play

PREBYTES Security Incident Response Team -

Wykryliśmy kolejną niebezpieczną aplikację dostępną w sklepie Google Play. Aplikacja Crypto Navigator ma rzekomo służyć do śledzenia kursów kryptowalut. W rzeczywistości, cyberprzestępcy przy jej użyciu wykradają dane logowania do bankowości elektronicznej. W ten sposób mogą zalogować się na Twoje konto i wykraść z niego pieniądze.

Zobacz, jak wygląda aplikacja do pobrania w Sklepie Google Play

Crypto Navigator została oceniona na 4,3 gwiazdki i ma już ponad 1000 pobrań. W chwili instalacji aplikacja nie żąda uprawnień administratora, czy dostępu do innych funkcjonalności w telefonie. Potrzebuje jedynie dostępu do zdjęć/multimediów/plików.

Po zainstalowaniu i uruchomieniu aplikacji rzeczywiście wyświetlane są kursy kryptowalut. Zatem pozornie nic złego się nie dzieje, a aplikacja działa poprawnie.

Jednak po pobraniu Crypto Navigator na swój telefon, prawdopodobnie skanuje ona urządzenie w poszukiwaniu zainstalowanych na nim aplikacji bankowych. W przypadku, gdy wykryta zostanie jedna z 14 aplikacji bankowych zdefiniowanych jako cel ataku, pobrana może zostać docelowa złośliwa aplikacja z serwera przestępców - Google Update. Aplikacja ta nie została odnaleziona do pobrania w Sklepie Google Play.

Po pobraniu dodatkowej aplikacji następuje wymuszenie zatwierdzenia jej instalacji przez użytkownika.

Uprawnienia, jakich żąda aplikacja:

  • modyfikowanie i usuwanie zawartości pamięci USB
  • odczytywanie zawartości pamięci USB
  • odbieranie wiadomości tekstowych (MMS)
  • odbieranie wiadomości tekstowych (SMS)
  • odczytywanie wiadomości tekstowych (SMS i MMS)
  • wysyłać i wyświetlać SMS-y
  • bezpośrednie wybieranie numerów telefonów
  • odczytywanie stanu informacji o telefonie

Po instalacji Google Update żąda aktywacji funkcji administratora urządzenia, co zezwala jej na:

  • Usuwanie wszystkich danych
  • Określ reguły hasła
  • Ustaw szyfrowanie pamięci

W momencie uruchomienia oryginalnej aplikacji bankowej, Google Update wyświetla nakładki, które wyłudzają dane logowania do bankowości online. Fałszywe nakładki wykorzystują logotypy banku, a użytkownik w żaden sposób może nie zorientować się, że padł ofiarą cyberprzestępców. Ponadto celem złośliwej aplikacji jest także jedna z giełd kryptowalut.

Zobacz, jak wyglądają nakładki wyświetlane przez złośliwą aplikację

Aplikacja po udanym ataku jest w stanie przywrócić telefon do ustawień fabrycznych, zacierając tym samym ślady infekcji.