28 maja 2020

Kolejny wirus w sklepie Google Play - kradł pieniądze, korzystając z wbudowanej funkcji Androida

Złośliwa aplikacja DEFENSOR ID pozwala cyberprzestępcom zdobyć dostęp do kont bankowych swoich ofiar. Eksperci ESET zbadali jak działa i w jaki sposób dostała się do sklepu Google Play.

Aplikacja Defensor ID to trojan bankowy, z pomocą którego przestępcy uzyskiwali dostęp do kont bankowych swoich ofiar. Brał on na cel przede wszystkim mieszkańców Ameryki Południowej, podszywając się pod popularnego w Brazylii dostawcę oprogramowania antyfraudowego, GAS Tecnologia. Sama aplikacja w swoim opisie obiecuje zresztą ochronę użytkownika podczas korzystania ze smartfona, m.in. poprzez wdrożenie dodatkowego szyfrowania.

W jaki sposób aplikacja omija zabezpieczenia? Przestępcy wykorzystali w tym celu funkcję ułatwień dostępu, stanowiącą element systemu Android. W swoich założeniach ma ona ułatwić przystosowanie aplikacji do obsługi przez osoby niepełnosprawne, jednak bardzo często jest ona nadużywana przez przestępców, którzy mogą z jej pomocą uzyskać pełną kontrolę nad urządzeniem oraz dostęp do wprowadzanych przez użytkownika danych.

W przypadku DEFENSOR ID przestępcy mogli monitorować wszystko, co dzieje się na ekranie, dzięki czemu mogli przechwytywać nie tylko wprowadzane przez użytkowników dane logowania, ale także jednorazowe hasła, dostarczane za pośrednictwem wiadomości SMS. Dzięki temu byli w stanie przejąć konta bankowe ofiar oraz wyprowadzić z nich środki.

Więcej informacji na temat aplikacji DEFENSOR ID, wraz ze szczegółową analizą stosowanych przez przestępców metod, można znaleźć na blogu WeLiveSecurity: Insidious Android malware gives up all malicious features but one to gain stealth (EN)

Autorem tekstu jest Arkadiusz Bała

Grzegorz Klocek
product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34