Badacze z Kaspersky Lab wykryli nową modyfikację dobrze znanego trojana bankowości mobilnej Faketoken, który został rozwinięty i obecnie potrafi kraść dane uwierzytelniające z popularnych aplikacji wykorzystywanych do zamawiania taksówek oraz dzielenia kosztów transportu oraz organizowania wspólnych przejazdów.

Rynek aplikacji mobilnych rozwija się, oferując coraz więcej usług, które wiążą się z przechowywaniem poufnych informacji finansowych. Przykładem mogą być usługi oraz aplikacje umożliwiające organizowanie wspólnych przejazdów i zamawianie taksówek, które wymagają informacji dotyczących karty bankowej użytkownika. Aplikacje te, zainstalowane na milionach urządzeń z systemem Android na całym świecie, stanowią atrakcyjny cel dla cyberprzestępców, którzy znacząco rozszerzyli funkcjonalność szkodliwego oprogramowania bankowości mobilnej.

Nowa wersja trojana Faketoken monitoruje aplikacje na żywo, a gdy użytkownik uruchomi określony program, nakłada na niego swoje okno phishingowe w celu kradzieży danych dotyczących karty bankowej ofiary. Trojan ma identycznie wyglądający interfejs, dzięki czemu nakłada się natychmiast i w całkowicie niewidoczny sposób. Z badania przeprowadzonego przez Kaspersky Lab wynika, że cyberprzestępcy atakują przy użyciu tego oprogramowania najpopularniejsze międzynarodowe usługi umożliwiające zamawianie przejazdów oraz dzielenie kosztów transportu.

Co więcej, trojan kradnie wszystkie przychodzące wiadomości SMS poprzez przekierowywanie ich do swoich serwerów, umożliwiając przestępcom uzyskanie dostępu do wysyłanych przez bank jednorazowych haseł weryfikacji transakcji lub innych wiadomości wysyłanych przez omawiane serwisy.

Nakładanie własnych elementów to funkcja występująca w wielu szkodliwych aplikacjach mobilnych. W zeszłym roku Kaspersky Lab informował o modyfikacji trojana Faketoken, która atakowała ponad 2 000 aplikacji finansowych na świecie, podszywając się pod różne programy i gry, często imitując narzędzie Adobe Flash Player. Od tego czasu Faketoken został rozwinięty i zwiększył zasięg geograficzny swojej działalności.

Działalność cyberprzestępców dotyczy obecnie nie tylko aplikacji finansowych, ale również innych obszarów, łącznie z serwisami umożliwiającymi zamawianie taksówek i dzielenie kosztów transportu. To oznacza, że twórcy takich serwisów być może będą musieli zacząć zwracać większą uwagę na ochronę swoich użytkowników. Oszustwa i różne sztuczki nie są już obce branży bankowej – w odpowiedzi na te zagrożenia banki zastosowały technologie bezpieczeństwa w aplikacjach, które znacząco zmniejszyły ryzyko kradzieży krytycznych danych finansowych. Być może w ich ślady powinny pójść inne serwisy, które przetwarzają dane finansowe. Nowa wersja trojana Faketoken atakuje głównie użytkowników rosyjskich. Jednak rozkład geograficzny ataków może w przyszłości zostać łatwo rozszerzony. Miało to miejsce już wcześniej w przypadku poprzednich wersji trojana Faketoken oraz innych zagrożeń bankowych — powiedział Wiktor Czebyszew, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.

Badacze wykryli również ataki przy użyciu trojana Faketoken na inne popularne aplikacje mobilne, takie jak programy pozwalające na planowanie podróży, rezerwowanie hoteli, płacenie mandatów, a także aplikacje wykorzystujące system płatności Android Pay. Faketoken może także nakładać własne formularze podczas korzystania ze Sklepu Play firmy Google.

W celu zapewnienia ochrony przed trojanem Faketoken oraz innymi zagrożeniami dla systemu Android firma Kaspersky Lab zaleca użytkownikom, aby nie instalowali aplikacji z nieznanych źródeł i wykorzystywali na swoich urządzeniach niezawodne rozwiązanie bezpieczeństwa, takie jak np. Kaspersky Internet Security for Android.

Źródło: KasperskyLab