Eksperci z laboratorium CERT Polska przeanalizowali kolejnego internetowego robaka, który celuje w polskich użytkowników bankowości internetowej. Złośliwe oprogramowanie składa się z dwóch modułów: atakującego komputer oraz przechwytującego jednorazowe hasła SMS na telefonie ofiary.
Użytkownik, którego komputer zostanie zarażony internetowym robakiem, po zalogowaniu do serwisu bankowego zobaczy dodatkowy komunikat. W rzeczywistości wiadomość nie pochodzi z banku, lecz jest wstawiana w treść strony przez złośliwe oprogramowanie.
Źródło: CERT Polska.
Komunikat zachęca do pobrania dodatkowego oprogramowania na telefon komórkowy. Mobilny wirus został przygotowany z myślą o platformie Android, chociaż dla niepoznaki w wiadomości rzekomo pochodzącej od banku znajduje się pełna lista mobilnych systemów operacyjnych.
Zobacz także
Jeśli ofiara poda swój numer telefonu, otrzyma wiadomość SMS z linkiem do aplikacji. Twórcy wirusa przygotowali także dodatkową instrukcję wskazującą, w jaki sposób w systemie Android powinno się włączyć możliwość instalowania aplikacji spoza Google Play. Konieczność pobrania „certyfikatu” spoza sklepu z aplikacjami tłumaczy się faktem, że jest to „autorskie opracowanie banku”.
Telefon-zombie na usługach włamywaczy
Po pobraniu aplikacji na telefonie wyświetlany jest kod, który należy wpisać w formularzu na zainfekowanym komputerze (pod pozorem weryfikacji instalacji). W ten sposób twórcy robaka są w stanie powiązać dane użytkownika bankowości internetowej z numerem zarażonego telefonu.
Telefon z zainstalowaną aplikacją staje się smartfonem-zombie, sterowanym przez atakujących za pomocą komend SMS-owych. Może ukrywać przychodzące SMS-y i przekazywać je dalej pod wskazany numer. Złodzieje mogą także wysłać polecenie, które spowoduje odinstalowanie złośliwego oprogramowania.
Opisany schemat może zostać użyty do wykradania danych potrzebnych do dostępu do bankowości internetowej oraz zlecania transakcji w imieniu ofiary. Przypomnijmy kolejny raz, że banki nie wymagają instalowania na smartfonach dodatkowych „certyfikatów”, a wszelkie komunikaty wyświetlane w serwisie transakcyjnym banku, skłaniające nas do podjęcia dodatkowych czynności (zwrotu wpłaconych środków, weryfikacji danych, pobierania oprogramowania), powinniśmy traktować z najwyższą podejrzliwością.
Michał Kisiel, analityk Bankier.pl
