Klienci PKO BP w niebezpieczeństwie. Można stracić pieniądze

W ostatnim czasie zespół CSIRT KNF zaobserwował na portalu Facebook fałszywe reklamy, zachęcające do pobrania złośliwego oprogramowania, podszywającego się pod nieistniejącą aplikację IKO Lokata. Kampania wycelowana była w osoby korzystające z Androida. Zainstalowanie tej aplikacji może prowadzić do poważnych konsekwencji, w tym przejęcia kontroli nad urządzeniem oraz kradzieży danych osobowych.

Aplikacja wizualnie przypomina oryginalny program PKO. Uruchomienie fałszywej aplikacji skutkuje wyświetleniem informacji o dostępności nowej wersji produktu. Kliknięcie w pole aktualizacji przenosi nas do ekranu, w którym możemy zaakceptować instalację aplikacji z tzw. niezaufanych źródeł. Urządzenie ostrzega, że wyrażenie zgody naraża nas na potencjalne ryzyko, dając jednak prawo do kontynuowania, poprzez przesunięcie odpowiedniego suwaka.

Nowe oszustwo promowane w mediach społecznościowych

Po zakończeniu procesu instalacji, użytkownik jest nakłaniany do przydzielenia tzw. Uprawnień Dostępności. Opcja, o ile jest wykorzystywana uczciwie ma na celu m.in. pomoc w obsłudze sprzętu osobom z niepełnosprawnościami. Jednakże przydzielenie dostępu do interfejsu Dostępności może umożliwić aplikacji podejmowanie aktywności na urządzeniu w naszym imieniu, co bywa chętnie wykorzystywane przez cyberprzestępców.

Analiza przeprowadzona przez CSIRT KNF wykazała, iż po zainstalowaniu aplikacji na urządzeniu pojawiają się dodatkowe pakiety, takie jak „purge.tremble” i „unrelated.hamburger”. Dodatkowo, aplikacja nawiązuje połączenia z nietypowymi adresami domen, m.in. api.telegram.org oraz rentvillcr.homes. Zidentyfikowano również próbki kodu, sugerujące, że aplikacja może należeć do rodziny złośliwego oprogramowania Crocodilus, znanej z agresywnych kampanii przeciwko użytkownikom bankowości mobilnej.

Po zakończonym procesie infekcji malware podejmuje aktywność związaną z przykrywaniem okna aplikacji bankowej IKO i wyświetlaniem ekranu wnioskującego o wprowadzenie kodu PIN. W tym przypadku udało się zaobserwować sieciowy ruch wychodzący, zawierający wprowadzony PIN oraz ekran z „podziękowaniem” za aktywację aplikacji.

Oczywiście taka aplikacja jak IKO Lokata nie istnieje, zaś jej instalacja grozi poważnymi konsekwencjami finansowymi. Jest to oszustwo, które może prowadzić do utraty pieniędzy oraz przejęcia danych osobowych. Atak jest wyjątkowo niebezpieczny ze względu na sposób dystrybucji – wykorzystanie reklam w mediach społecznościowych sprawia, że może trafić do szerokiego grona odbiorców.

CSIRT KNF przypomina, by:

• Instalować aplikacje wyłącznie z oficjalnych źródeł (Google Play, App Store)

• Zachować ostrożność wobec reklam promujących inwestycje lub aplikacje bankowe

• Regularnie aktualizować system i oprogramowanie zabezpieczające

• Monitorować uprawnienia aplikacji zainstalowanych na urządzeniu

• W razie wątpliwości – konsultować się z bankiem i specjalistami ds. bezpieczeństwa

Nowa kampania oszustwa z wykorzystaniem fałszywej aplikacji podszywającej się pod PKO BP pokazuje, jak bardzo zaawansowane technicznie potrafią być ataki na użytkowników. Wystarczy chwila nieuwagi, by zainstalować złośliwe oprogramowanie i utracić dostęp do konta bankowego, a wraz z nim nawet pieniądze.