Ważne

My, Polacy, nabraliśmy się na złośliwe aplikacje, które kradły nasze hasła do banków

Zwykle mamy się za cwaniaków, spryciarzy i ludzi rozsądnych. Problem w tym, że czasem naprawdę spotykamy cwaniaków i spryciarzy, a naszą czujność można uśpić. Udało się to w wypadku kilku tysięcy użytkowników dwóch niebezpiecznych aplikacji, które w naszym kraju kradły ze smartfonów dane logowania kilkunastu polskich banków.

Sytuacja jest już opanowana, bo wspomnianych aplikacji w sklepie Google Play już nie ma. Jednak od końca listopada udawało się im przejmować loginy i hasła do Alior Banku, BZ WBK, PKO BP, Millenium, mBanku i innych. Jak to możliwe?

Dwie aplikacje, używane przez oszustów nosiły nazwy Crypto Monitor oraz StorySaver. Pierwsza miała rzekomo śledzić kursy kryptowalut, zaś druga umożliwiała pobieranie Stories z Instargama i zapisywanie ich na urządzeniu. To była tylko przykrywka dla prawdziwego celu istnienia tych apek – a ten był wspólny. Chodziło o wykradanie loginów i haseł do bankowości elektronicznej przez generowanie fałszywych powiadomień, rzekomo pochodzących od banków.

Zaraz po pobraniu jednej z tych aplikacji, smartfon użytkownika był w tle skanowany w poszukiwaniu aplikacji bankowej. W zależności od tego, którą z 14 aplikacji bankowych udało się znaleźć, złośliwe apki imitowały powiadomienia pochodzące od nich i prosiły o zalogowanie się do banku. Z podstawionych formularzy oszuści pobierali dane. Potrafili nawet przeglądać treść wiadomości SMS potwierdzających logowanie się z obcej aplikacji, rzeczywiście wysyłanych z banku, zgodnie z zasadami bezpieczeństwa.

Zanim aplikacje zostały usunięte ze sklepu Google Play, zostały pobrane kilka tysięcy razy, głównie przez Polaków. 96% pobrań pochodziło właśnie z naszego kraju. Niewielki odsetek pobrań zaliczyła też Austria.

Oto lista 14 aplikacji bankowych, pod które podszywały się złośliwe aplikacje:

  • Alior Mobile
  • BZWBK24 mobile
  • Getin Mobile
  • IKO
  • Moje ING mobile
  • Bank Millennium
  • mBank PL
  • BusinessPro
  • Nest Bank
  • Bank Pekao
  • PekaoBiznes24
  • plusbank24
  • Mobile Bank
  • Citi Handlowy

Jak widać, nikt nie jest odporny na oszustwa i wymuszenia. Zagrożenia przybrały teraz inną formę niż kiedyś. Znacznie łatwiej odprowadzić pieniądze z rachunku, którego użytkownik sam podał hasło, niż kraść kartę płatniczą z jego kieszeni. Bądźcie ostrożni podczas wybierania aplikacji i przyglądajcie się uprawnieniom, których wymagają do działania.

źródło: wirtualnemedia

Komentarze

  • NFC musi być

    Bankowanie telefonem to głupota, prosta droga do utraty pieniędzy.
    Odcisk palca, wizerunek gęby zabezpieczeniem? Dla bandyty żadnym. Nieprzytomny, skrępowany odblokuje telefon wbrew woli.

    • Tech-Floyd :)

      Lepiej nosić cash:D
      Już widzę, jak mi na ulicy jakiś wsiok telefon kradnie:D
      Gdzie ty żyjesz:D

    • Odblokuje, ale nie dokona operacji wplywajacej na saldo rachunku. Do tego potrzebuje juz indywidualnego PINu. Poza tym sa limity kwotowe i dobowe. Stad tez… nie wprowadzaj w blad

      • NFC musi być

        W różnych bankach jest z tym różnie. Gdzieś limitu przelewu brak tylko w mobilnej aplikacji.
        Oprogramowanie wykradające piny hasła loginy opisano w tym artykule.

        Mam w rodzinie chiński telefon kupiony w polskim elektromarkecie, zarażony. Resetowanie nie pomaga, po krótkim czasie programy antywirusowe znowu wykrywają zarażenie pliku systemowego.
        Bank w telefonie dobry dla uczniów i innych bez osadu i debetu.

        Ja nie chcę.

        • Tech-Floyd :)

          Przesadzaj chłopie. Wszystko można, ale z umiarem. ja korzystam własnie z IKO w PKO BP od ponad roku i jest świetne. Oczywiście nie podpinam pod telefon mojego głównego kąta, ale własnie to, które założyłem tylko do płacenia telefonem. Idę sobie raz na miesiąc lub 2 do wpłato matu, wrzucam powiedzmy 800 czy 1500 zł (zależy jak często chodze) i opłacam z tego kino, wyjścia, mniejsze zakupy itd. Pożegnałem się z portfelem, chyba, że kupuję coś dużego – to wtedy cash.
          Nie mam tam żadnej karty kredytowej ani nic. Gdybym przypadkiem stracił telefon to bardziej obawiałbym sie straty 4000 zł wartości telefonu niż konta, które telefonicznie zablokuję w 5 minut…

        • Ale to oprogramowanie wykrada hasla do bankowosci internetowej, a nie mobilnej (aplikacji). Po samej aplikacji wirus po prostu wie, jaki ma podstawic ekran. Rownie dobrze moglby to robic losowo lub przegladajac historie przegladarki. Limity tarnsakcyjne w bankowosci mobilnej sa do ustawienia chyba wszedzie (nie kojarze, gdzie nie ma – a mam konta we wszystkich wiekszych i mniejszych bankach). Wykradniecie nawet PINu do aplikacji nic nie da, bo aplikacja jest “przywiazana” do konkretnego telefonu, a autoryzacja nie jest trywialnym procesem.

    • as

      tez to tuaj stwierdzilem kilka tygodni temu, to probowano mi uzmyslowic, ze NFC i bankowe apki to bezpieczniejszy sposob niz korzystanie ze stron internetowych banku. no to teraz mamy to co mamy….

      • Devil_Dragos

        Korzytasz z mozgu wiec jestes bezpieczny. Proste lecz prawdziwe

    • xaliemorph

      Głupota dlatego że appki i sam Android dla znakomitej większości użytkowników są jedną wielką CZARNĄ SKRZYNKĄ. W przypadku systemów stacjonarnych ludzie bywają lepiej zorientowani w tym co się dzieje w systemie bo choćby idzie łatwiej znaleźć więcej narzędzi ku temu. A Android przez swoje silne zamknięcie dla użytkowników płaci wysoką cenę bo ci co chcą się włamywać wiedza jak to robić a użytkownicy są w zasadzie wobec tego … bezbronni.

  • Pan Cogito

    Przykro mi, ale “Twoje rozumowanie jest inwalidą”. A czy po paru mocnych argumentach – typu klasyczy “akumulator na jajach” – nie wyjawisz hasła od bankowości? Nie zalogujesz się na komputerze pod presją? Więc bankowanie przez internet to głupota. A czy po kilku innych torturach nie podpiszesz cesji albo pełnomocnictwa do rachunku czy dyspozycji wypłaty? A więc klasyczny dostęp do banku to również głupota! Ergo – najlepiej aby dało się tylko wpłacać pieniądze do banku, bez jakiejkolwiek możliwości wypłaty. Wtedy będzie bezpieczniej!

    • VAC

      Nie trzeba wchodzić na tak wysokie oktawy. Kolega pracuje w serwisie telefonów i z tego, co mówi, to blisko połowa trafiającego do niego sprzętu nie posiada ŻADNEGO zabezpieczenia – typu PIN, wzór, odcisk – przed nieautoryzowanem dostępem, a kolejna połowa je mających, czyli już w sumie ok. 3/4, tez nie zawracała sobie głowy zaszyfrowaniem zawartosci swego urządzenia.

  • Ard Lip

    Banki wcześniej nic nie mówiły, że to nie są ich aplikacje i są one niebezpieczne.

    • Devil_Dragos

      Bo to nie sa apki bankow. Czytanie ze zrozumieniem

  • alek

    “96% pobrań pochodziło właśnie z naszego kraju”
    Stwierdzenie warte geniuszu, bo te “apk-i” dotyczą wylacznie dzialających “polskich” bankow, wiec trudno aby Chinczyk, Amerykanin czy Anglik pobierał zawirusowana apke.

    • Mong

      Mniej wartościowy naród tubylczy się nabrał… ;)

Logowani/Rejestracja jest chwilowo wyłączona