Osoby korzystające z bankowości elektronicznej muszą uważać na aplikacje, które instalują na swoich smartfonach. Okazuje się, że nie można nawet ufać aplikacjom pochodzącym z oficjalnego sklepu Google Play. To właśnie tam hakerzy umieścili program o nazwie “Bankowość uniwersalna Polska”, który miał służyć do logowania do 21 polskich banków. Tak naprawdę umożliwiał on przestępcom na wykradanie pieniędzy z kont Polaków.
Zagrożenie zostało odkryte przez specjalistów z firmy ESET, którzy od razu poinformowali Google. Szkodliwa aplikacja zniknęła już ze sklepu Play, jednak dalej znajduje się ona w tzw. “drugim obiegu”. Można ją dalej pobrać za pomocą nieautoryzowanych sklepów z aplikacjami na Androida. Osoby, które korzystały z aplikacji Bankowość uniwersalna Polska, powinny jak najszybciej sprawdzić historię transakcji.
“Za jej pomocą użytkownik spośród aż 21 polskich banków mógł wybrać ten, w którym posiada swój rachunek bankowy. Następnie był proszony o dane uwierzytelniające, czyli login i hasło. Te dane były wysyłane do hakera, a proces logowania do rachunku w ogóle nie miał miejsca. Aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie – użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich użytkowników.” – tłumaczy Lukas Stefanko, badacz zagrożeń z ESET.
Aplikacja Bankowość uniwersalna Polska została zainstalowana tylko przez 100 osób
Na szczęście skala ataku była niewielka. Jednak sam fakt, że tego typu aplikacja znalazła się w oficjalnym sklepie Google Play, jest bardzo niepokojący. Hakerzy byli w stanie zaimplementować mechanizm przechwytujący SMS-y, który nie został wyłapany przez skanery używane przez kalifornijskiego giganta. Oznacza to, że przestępcy mogą stworzyć inne aplikacje, które będą omijać mechanizmy dwuetapowej weryfikacji.
Firma ESET zwraca uwagę, że nie jest to pierwszy tego typu atak. Do podobnego incydentu doszło już w zeszłym roku. W sklepie Google Play zostały wtedy umieszczone aplikacje CryptoMonitor oraz StorySaver, które miały za zadanie przechwycić dane używane do logowania przez klientów 14 polskich banków. Również wtedy hakerzy zaimplementowali dodatkowy mechanizm, który przechwytywał jednorazowe kody wysyłane wiadomościami SMS.
Źródło: ESET