My, Polacy, nabraliśmy się na złośliwe aplikacje, które kradły nasze hasła do banków

Zwykle mamy się za cwaniaków, spryciarzy i ludzi rozsądnych. Problem w tym, że czasem naprawdę spotykamy cwaniaków i spryciarzy, a naszą czujność można uśpić. Udało się to w wypadku kilku tysięcy użytkowników dwóch niebezpiecznych aplikacji, które w naszym kraju kradły ze smartfonów dane logowania kilkunastu polskich banków.

Sytuacja jest już opanowana, bo wspomnianych aplikacji w sklepie Google Play już nie ma. Jednak od końca listopada udawało się im przejmować loginy i hasła do Alior Banku, BZ WBK, PKO BP, Millenium, mBanku i innych. Jak to możliwe?

Dwie aplikacje, używane przez oszustów nosiły nazwy Crypto Monitor oraz StorySaver. Pierwsza miała rzekomo śledzić kursy kryptowalut, zaś druga umożliwiała pobieranie Stories z Instargama i zapisywanie ich na urządzeniu. To była tylko przykrywka dla prawdziwego celu istnienia tych apek – a ten był wspólny. Chodziło o wykradanie loginów i haseł do bankowości elektronicznej przez generowanie fałszywych powiadomień, rzekomo pochodzących od banków.

Zaraz po pobraniu jednej z tych aplikacji, smartfon użytkownika był w tle skanowany w poszukiwaniu aplikacji bankowej. W zależności od tego, którą z 14 aplikacji bankowych udało się znaleźć, złośliwe apki imitowały powiadomienia pochodzące od nich i prosiły o zalogowanie się do banku. Z podstawionych formularzy oszuści pobierali dane. Potrafili nawet przeglądać treść wiadomości SMS potwierdzających logowanie się z obcej aplikacji, rzeczywiście wysyłanych z banku, zgodnie z zasadami bezpieczeństwa.

Zanim aplikacje zostały usunięte ze sklepu Google Play, zostały pobrane kilka tysięcy razy, głównie przez Polaków. 96% pobrań pochodziło właśnie z naszego kraju. Niewielki odsetek pobrań zaliczyła też Austria.

Oto lista 14 aplikacji bankowych, pod które podszywały się złośliwe aplikacje:

Jak widać, nikt nie jest odporny na oszustwa i wymuszenia. Zagrożenia przybrały teraz inną formę niż kiedyś. Znacznie łatwiej odprowadzić pieniądze z rachunku, którego użytkownik sam podał hasło, niż kraść kartę płatniczą z jego kieszeni. Bądźcie ostrożni podczas wybierania aplikacji i przyglądajcie się uprawnieniom, których wymagają do działania.

 

źródło: wirtualnemedia

Exit mobile version