Jak w stosunkowo prosty sposób wyłudzić dane logowania do banku od Polaka? Umieścić w sklepie Google Play aplikację, która będzie agregować formularze do wprowadzania loginów i haseł, i poczekać, aż niczego niepodejrzewający użytkownicy pobiorą ją i „wklepią” poufne dane w odpowiednie pola. Tak zadziałali hakerzy, którzy stworzyli apkę „Bankowość uniwersalna Polska”.
Fałszywa aplikacja była obecna w sklepie Google Play do 20 marca. Nieświadomi użytkownicy, myśląc, że dzięki niej będą mogli się logować do wielu banków przez jeden program, wpisywali swoje loginy i hasła w podstawione pola. Oczywiście nie skutkowało to rzeczywistym zalogowaniem się na konto – a tylko przekazaniem hakerom poufnych danych.
„Bankowość uniwersalna Polska” miała umożliwić logowanie do 21 polskich banków z jednego miejsca. Jak czytamy w raporcie ESET-u, „aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie – użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich użytkowników”.
Lukas Stefanko, który zajmuje się badaniem zagrożeń cyfrowych w ESET, udzielił informacji, że aplikacja została pobrana nie więcej niż sto razy i usunięta z Google Play w dniu jej odkrycia. Nadal jednak można znaleźć ją w sieci w postaci pliku .apk.
Bardzo podobnej strategii użyli hakerzy, którzy stworzyli aplikacje Crypto Monitor i StorySaver. Wtedy oszuści mogli znaleźć się w posiadaniu danych logowania do 14 banków, zaś tym razem ta liczba zwiększyła się do 21.
Przy pobieraniu aplikacji operujących naszymi finansami powinniśmy być szczególnie ostrożni, a do zarządzania naszymi rachunkami nie wybierajmy aplikacji zewnętrznych. Nic dziwnego, że banki nie udostępniają kodu swoich aplikacji firmom trzecim, tak by nie dopuszczono się nadużyć na kontach klientów.
Sklep Google Play jest bardziej narażony na aplikacje podszywające się pod prawdziwe usługi finansowe, ze względu na liczbę programów, które każdego dnia trafiają do jego zbiorów. Apple zaczyna radzić sobie z tego typu przekrętami, celowo „utrudniając” deweloperom dołączenie własnej aplikacji do repozytorium App Store. Na Androidzie kontrola nad aplikacjami jest nieco gorszej jakości, choć oczywiste jest, że nikt nie zainstaluje nam podejrzanego programu na smartfonie za nas. Tam, gdzie w grę wchodzą nasze wrażliwe dane, loginy i hasła, należy wykazać się wzmożoną ostrożnością.
https://www.tabletowo.pl/2018/04/05/appstore-ma-mniej-aplikacji-google-play-porownanie/
źródło: ESET przez wirtualnemedia.pl
