Tag: android

Analiza polskiego BankBota

Data publikacji: 16/01/2018, Agnieszka Bielec


    Analiza polskiego BankBota

    Niedawno zaobserwowaliśmy kampanie z wykorzystaniem złośliwego oprogramowania na systemy Android skierowane do polskich użytkowników. Malware stanowi wariant popularnej rodziny BankBot, różniący się od oryginalnego oprogramowania kilkoma szczegółami. Do infekcji dochodziło przez instalację aplikacji z serwisu Google Play Store. W Google Play Store zostały umieszczone co najmniej 3 próbki, które obeszły jego zabezpieczenia antywirusowe. Nazwy złośliwych aplikacji to:

    • Crypto Monitor
    • StorySaver
    • Cryptocurrencies Market Prices

    Zgodnie z analizą firmy ESET dwie pierwsze próbki z samego Google Play Store zostały pobrane od 1000 do 5000 razy. Niemniej za każdym razem malware kamuflował się jako niegroźna aplikacja.

    Czytaj więcej

    GMBot: nowe sposoby na wyłudzanie danych z przeglądarek mobilnych

    Data publikacji: 16/05/2016, Malgorzata Debska

    Złośliwe oprogramowanie na system Android o nazwie GMBot (inna nazwa slempo) było już przez nas opisywane w październiku ubiegłego roku. Aplikacja do wyłudzania danych logowania do banku używała tzw. metody przesłonięcia aplikacji (ang. application overlay). Jest to nic innego jak zwykły atak phishingowy, w działaniu dosyć podobny do znanej metody używania webinjectów w systemach z rodziny Windows. Zgodnie z naszymi przewidywaniami, używanie przesłonięcia aplikacji stało się dosyć popularne w złośliwych aplikacjach androidowych. W ciągu ostatniego półrocza powstało wiele wersji oprogramowania swoim działaniem przypominających GMBota. W każdym przypadku przesłonięcie dotyczyło wyłącznie aplikacji zainstalowanych na telefonie (aplikacje bankowe, komunikatory, e-mail). W zeszłym tygodniu, do naszego laboratorium trafiła jednak próbka, która oprócz przesłonięcia aplikacji bankowej stara się także wyłudzić dane dostępowe do banku z mobilnej przeglądarki internetowej.

    Czytaj więcej

    Złośliwy iBanking – stary sposób infekcji, nowe pomysły utrudniające odinstalowanie

    Data publikacji: 16/03/2016, Malgorzata Debska

    W ostatnim czasie do CERT-owego laboratorium trafiła próbka złośliwego oprogramowania typu iBanking podszywającego się pod mobilną aplikację skanera antymalware’owego Trusteer Rapport. Scenariusz ataku nie jest niczym nowym, był wielokrotnie wykorzystywany w przeszłości, jednak w ostatnim czasie zauważamy wzrost ataków tego typu wymierzonych w Polskich użytkowników bankowości elektronicznej. Analizowana aplikacja okazała się dużo trudniejsza w usunięciu, a jej kod o wiele lepiej zaciemniony niż wcześniejsze programy tego typu.

    Czytaj więcej

    Grupa Pocztowa

    Data publikacji: 14/10/2015, Łukasz Siewierski

    Podczas konferencji SECURE zaprezentowaliśmy nasze ustalenia dotyczące działalności grupy przestępczej, którą nazwaliśmy „Grupą Pocztową” ze względu na ich modus operandi. Szczegółowe ustalenia dotyczące tej grupy zebraliśmy również w formie raportu dostępnego pod poniższym linkiem.Czytaj więcej

    GMBot: Androidowa uboższa wersja webinjectów

    Data publikacji: 02/10/2015, Łukasz Siewierski

    maldroidOstatnio do laboratorium CERT Polska trafiła próbka nowego złośliwego oprogramowania na systemy Android o nazwie GMBot. Oprogramowanie to stara się ulepszyć obecną technikę trojanów bankowych, która składa się z dwóch części: jednej na systemy Windows i jednej na systemy Android. Zamiast tego używana jest technika o nazwie application overlay (po polsku będziemy to nazywać przesłonięciem aplikacji), która ma służyć uzyskaniu danych do logowania do konta bankowego ofiary za pomocą ataku phishingowego. Znaleźliśmy także wcześniejszy kod źródłowy tego złośliwego oprogramowania na jednej z rosyjskich stron służących do dzielenia się plikami. Przesłonięcie aplikacji w GMBot jest bardzo podobne do metody używania webinjectów w systemach z rodziny Windows. Gdy pojawił się Zeus, webinjecty szybko stały się standardem. Czy podobnie będzie z GMBotem?
    Czytaj więcej

    Powrót iBanking – złośliwego oprogramowania na Android

    Data publikacji: 16/01/2015, Łukasz Siewierski

    iBanking-qr-iconZłośliwe oprogramowanie iBanking było już opisywane przez nas na blogu, kiedy pod koniec 2013 roku udawało antywirusa na urządzenia mobilne. W rzeczywistości służyło do wykradania haseł jednorazowych z wiadomości SMS zainfekowanych użytkowników. Scenariusz ataku jest dosyć popularny i był już wykorzystywany kilkukrotnie w przeszłości, także w ataku na użytkowników polskiej bankowości elektronicznej. Tym razem jednak, żeby jeszcze bardziej przekonać użytkowników do instalacji aplikacji, wykorzystano ułatwienia, które daje zastosowanie kodów QR.

    Czytaj więcej

    Android: nowe zagrożenia – stare metody infekcji

    Data publikacji: 11/08/2014, Łukasz Siewierski

    maldroidW ostatnim czasie w Polsce zaczęły pojawiać się ataki na użytkowników systemu Android. Wiele polskich i zagranicznych serwisów donosiło o ataku za pomocą wiadomości e-mail rzekomo pochodzącej od firmy antywirusowej Kaspersky. Poniżej przedstawiamy malware używany w tym ataku. Dzięki szybkiej współpracy wielu firm, jeden z adresów C&C został skutecznie usunięty. Sam malware natomiast zmienił tylko miejsce swojego pobytu oraz sposób infekcji. Poniżej opisujemy również nowy-stary sposób infekcji korzystający z sieci BitTorrent. Jesteśmy przekonani, że za wszystkimi tymi atakami stoi ta sama osoba, bądź grupa osób, najprawdopodobniej pochodzących z Polski i odpowiedzialnych za złośliwe oprogramowanie VBKlip w wersji .NET, o którym już nieraz pisaliśmy.
    Czytaj więcej

    Wykradacz haseł jednorazowych na Androida udający mobilnego antywirusa

    Data publikacji: 17/12/2013, Łukasz Siewierski

    malware-icon

    Aplikacja E-Security pojawiła się, w wersji atakującej polskich użytkowników, na początku tego roku. W ostatnich tygodniach zauważyliśmy, że o ile sam schemat infekcji jest podobny – wciąż po zalogowaniu się do strony banku wyświetlany jest komunikat o potrzebie instalacji aplikacji mobilnej – o tyle nie jest to już „certyfikat bezpieczeństwa”, a „program antywirusowy”. Ten nowy malware, przeznaczony na systemy z rodziny Android, odznacza się znacznie większymi możliwościami niż E-Security.
    Czytaj więcej

    Android 4.4 KitKat – zmiany w bezpieczeństwie

    Data publikacji: 08/11/2013, Łukasz Siewierski

    malware-icon

    Ostatniego dnia października, Google ogłosiło wydanie nowej wersji mobilnego systemu operacyjnego Android. Wersja ta jest oznaczona numerem 4.4 i, zgodnie z konwencją nazywania kolejnych wersji, nazwana KitKat. Wprowadza ona wiele udogodnień dla użytkowników, ale również kilka dodatkowych funkcji odpowiedzialnych za bezpieczeństwo. Pojawiła się również dodatkowa funkcja, związana z obsługą wiadomości SMS, która ułatwia użytkownikom zaobserwowanie infekcji telefonu złośliwym oprogramowaniem. Osiągnięte zostało to niejako przypadkiem, gdyż ta dodatkowa funkcjonalność nie jest ogłoszona jako usprawnienie bezpieczeństwa.
    Czytaj więcej

    Ewolucja złośliwego oprogramowania na Androida – historia kolegi ZitMo

    Data publikacji: 12/06/2013, Łukasz Siewierski

    malware-icon

    Niedawno pisaliśmy o nowym zagrożeniu dla polskich użytkowników elektronicznej bankowości – E-Security. Przypominając, wchodząc na już zainfekowanym komputerze na stronę banku wyświetlany został komunikat o potrzebie instalacji „certyfikatu bezpieczeństwa” na swoim telefonie z systemem Android. „Certyfikat” był w rzeczywistości aplikacją, która pozwalała przechwytywać wiadomości SMS. W ten sposób przestępcy posiadali login i hasło (ponieważ komputer był zainfekowany) oraz mogli przechwycić hasło SMSowe. Prowadziło to do możliwości wykonania przelewu, o którym użytkownik nie wiedział.

    W poprzednim wpisie spekulowaliśmy na temat innego kanału komunikacji – zamiast przesyłać polecenia za pomocą wiadomości SMS, trojan ma możliwość połączenia się z C&C za pomocą protokołu HTTP. W tym artykule chcemy przedstawić historię rozwoju aplikacji E-Security, którą udało nam się odtworzyć na podstawie 10 próbek przedstawiających się czterema różnymi wersjami na platformę Android.

    Czytaj więcej