238 zagrożonych aplikacji na Androida. BianLian kradnie hasła do banków
Aż 238 aplikacji na Androida jest na celowniku mało znanego szkodliwego oprogramowania BianLian. Oprogramowanie instaluje się w smartfonach jako nakładka i przejmuje wprowadzane dane, w tym loginy i hasła do aplikacji bankowych. W konsekwencji można stracić pieniądze.
Szczegóły ataku zostały przybliżone na Twitterze przez zespół MalwareHunterTeam i Lukasa Stefanko - badacza bezpieczeństwa z firmy ESET. Jak udało się ustalić, BianLian został stworzony, by przejmować dane z aż 238 programów na Androida, w tym aplikacji bankowych m.in. banku Santander, ING, PKO, Millennium, mBank, Getin czy Alior Banku. Na liście jest także WhatsApp, Gmail a nawet Sklep Play - słowem wiele aplikacji, które są popularne szczególnie w smartfonach użytkowników z Polski.
Szkodliwa aplikacja w opisywanym przykładzie udaje FlashPlayera. Jest to więc kolejna wariacja ataku, w którym wykorzystywana jest znana nazwa aplikacji, aby zachęcić użytkownika do pobrania i instalacji niebezpiecznego pliku APK. Wcześniej na podobnej zasadzie można było trafić na szkodliwe oprogramowanie FluBot, głównie po odwiedzeniu linku z jednej z wiadomości rozsyłanych w ramach popularnych kampanii SMS trwających przynajmniej od kilku tygodni.
Jak opisuje Lukas Stefanko, w tym przypadku po instalacji fałszywego FlashPlayera następuje szereg działań w tle, które prowadzą do instalacji "właściwego" szkodliwego oprogramowania. Instalator BianLian wykorzystuje m.in. sieć TOR, aby pobrać na smartfon inne zainfekowane pliki APK. Docelowo szkodliwe oprogramowanie jest w stanie samo przydzielić sobie niezbędne uprawnienia i finalnie działać w Androidzie jako niewidzialna nakładka na aplikacje - między innymi bankowe.
W ten sposób przechwytywane są wpisywane dane logowania, a następnie przekazywane atakującym, którzy wykorzystają je, próbując logować się na konta ofiar z własnych urządzeń. Szczegóły możliwości oprogramowania BianLian zostały przedstawione na krótkim filmie opublikowanym przez CSIRT KNF:
Chcąc bronić się przed tym i podobnymi atakami, należy pamiętać o podstawowych zasadach bezpieczeństwa w sieci. Kluczowe jest unikanie podejrzanych linków i instalacji aplikacji z niezaufanych źródeł. Warto pamiętać, że jedno udzielone uprawnienie w aplikacji za dużo może prowadzić - tak jak w tym przypadku - do eskalacji uprawnień i finalnie dużo większych strat, niż może się wydawać na początku.
