Sektor bankowości i finansów jest jednym z trzech celów najczęściej obieranych przez cyberprzestępców. Hakerzy w coraz bardziej pomysłowy sposób atakują nie tylko korporacje, ale również bezpośrednio ich klientów. Jak donosi firma Check Point Software, w Brazylii cyberprzestępcy zaatakowali użytkowników płatności ekspresowych PIX, tworząc fałszywe aplikacje zawierające złośliwe oprogramowanie, które dostępne były w sklepie Google Play. Czy w podobny sposób ofiarami mogą zostać polscy użytkownicy BLIK-a?
Użytkownicy PIX-a, czyli czołowego brazylijskiego systemu płatniczego, zostali nowym celem południowoamerykańskich hakerów. System płatności ekspresowych, analogiczny do naszego BLIKA-a, codziennie przetwarza ponad 40 mln transakcji i generuje obroty rzędu 4,7 miliarda dolarów tygodniowo!
Hakerzy do swoich ataków wykorzystali dwa warianty szkodliwego oprogramowania – PixStealer oraz MalRhino, które dystrybuowane były za pomocą dwóch złośliwych aplikacji opublikowanych w Google Play Store. Obie aplikacje zaprojektowane zostały w celu kradzieży środków poprzez interakcję pomiędzy użytkownikiem a właściwym systemem PIX.
Pierwszy wariant złośliwego oprogramowania – PixStealer posiadał właściwie jedną funkcję: transfer środków ofiary na konto kontrolowane przez cyberprzestępcę. Eksperci z Check Point Research wykryli malware w aplikacji PagBank Cashback, skierowanej wyłącznie do klientów brazylijskiego banku PagBank. Aplikacja dostępna w Google Play Store nie została zablokowana przez systemy bezpieczeństwa m.in. dzięki zdolności do działania bez połączenia z serwerem C&C. Po otwarciu PagBank Cashback włączał nakładkę, która dezinformowała użytkownika, a napastnik był w stanie przesłać wszelkie środki ofiary na wskazane przez siebie konto.
Drugi z wariantów malware’u – MalRhino, był bardziej zaawansowany. Potrafił „przejąć” właściwą aplikację PIX oraz inne moblilne aplikacje bankowe. Złośliwe oprogramowanie zostało zaimplementowane w fałszywej aplikacji iToken przeznaczonej dla klientów Inter Banku. MalRhino wyświetał swojej ofierze komunikat z wnioskiem o przyznanie jej szerokiego dostępu do urządzenia. Po akceptacji malware mógł zbierać dane o zainstalowanych aplikacjach i wysyłać ich listę na serwer C&C, wraz z informacją o urządzeniu ofiary. Ponadto malware potrafił uruchamiać aplikacje bankowe oraz odzyskiwać PIN z aplikacji Nubank.
– Żyjemy w czasach, w których cyberprzestępcy nie muszą włamywać się do banku, aby ukraść pieniądze. Wszystko czego obecnie potrzebuje, to zrozumieć platformy wykorzystywane przez banki i ich pułapki. Obecnie obserwujemy wzrastający trend, w którym cyberprzestępcy biorą na celownik aplikacje banków instytucjonalnych – wyjaśnia Lotem Finkelsteem, szef wywiadu zagrożeń w Check Point Software Technologies.
Również w Polsce cyberprzestępcy próbują wykorzystywać popularność płatności ekspresowych, w szczególności dokonywanych za pośrednictwem usługi BLIK. Dotychczas zaobserwowane metody opierają się głownie na phishingu, nakłaniając ofiary np. do zapłacenia „podatku kurierskiego”, rzekomo przygotowanego przez Ministerstwo Finansów. W innym przypadku cyberprzestępcy przygotowali fałszywą aplikację BLIK, która miała za cel kradzież danych logowania do kont bankowych. Polska Policja ostrzegała również przed wysyłanymi za pomocą mediów społecznościowych prośbami znajomych o opłacenie transakcji na kwotę od kilkudziesięciu do kilkuset złotych. W takich wypadkach istnieje bardzo duże ryzyko, że konto znajomego zostało przejęte przez hakera.
– Uważamy wykryte cyberataki za solidną wskazówkę, że cyberprzestępcy kierują swoje działania wokół złośliwego oprogramowania bankowego stworzonego na system Android, którego celem jest transfer środków ofiar na ich własne konta. W świecie, w którym wszystko odbywa się zdalnie z powodu epidemii koronawirusa, zalecamy użytkownikom natychmiastowe usunięcie wszelkich nieoficjalnych i podejrzanych aplikacji z ich telefonów komórkowych. Gorąco apeluję również do wszystkich użytkowników aplikacji bankowych, aby uważali na bankowe złośliwe oprogramowanie zaszyte w aplikacjach mobilnych – dodaje ekspert Check Point Software.
