Podvodná aplikace krade údaje k bankovnímu účtu, v mobilu ji mají tisíce lidí

Kybernetičtí zločinci znovu zaútočili na klienty bank v Česku. Prostřednictvím infikované aplikace Word Translator z oficiálního obchodu Google Play se snaží z mobilního zařízení s operačním systémem Android odcizit jejich přihlašovací údaje pro přístup do bankovního účtu. Aplikaci si stáhlo více než deset tisíc lidí, Google už ji z nabídky odstranil.

„Podařilo se nám zachytit nástroj, jehož oficiální funkcí mělo být překládání textu. Na základě naší interní analýzy můžeme říci, že původně legitimní aplikace byla v průběhu času opět takzvaně ztrojanizována. To znamená, že se po některé z jejích aktualizací stal z aplikace trojský kůň,“ uvedl technický ředitel antivirové firmy Eset Miroslav Dvořák.

Trojský kůň umožňuje útočníkům stáhnout do chytrého telefonu nebezpečný obsah, což se také dělo. Škodlivý kód je zaměřený na bankovní aplikace největších bankovních domů působících v Česku. Kromě toho je i v náhledu aplikace v Google Play zřetelně vidět český text.

Z pohledu škodlivého kódu, který útočníci použili, jde o prakticky stejnou hrozbu, jakou byla aplikace QRecorder z loňského září nebo Blockers call 2019 z ledna tohoto roku.

Program v telefonu čeká na zašifrovaný příkaz útočníka, na základě kterého vykoná požadovanou aktivitu. V první fázi škodlivý kód zjišťuje, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné, a nemusí jít pouze o bankovní aplikace. Následně se do telefonu stáhne modul, který vytvoří takzvanou neviditelnou vrstvu nad cílovou aplikací, například internetovým bankovnictvím, a snímá přihlašovací údaje uživatele.

Útočníci dále mají přístup do SMS zpráv, které jsou nejčastějším druhým ověřovacím faktorem při převodech peněz. Útočníkům tedy nic nebrání, aby si vzdáleně posílali peníze z účtu napadeného uživatele na cizí bankovní účty bez jeho vědomí.