Detaliile unor carduri de credit, dezvăluite online de aplicații bancare false din Google Play


Un alt set de aplicații bancare false a ajuns în magazinul oficial Google Play. Pretinzând să crească limita cardului de credit pentru utilizatorii a trei bănci indiene, aplicațiile rău intenționate fură detaliile cărților de credit și credențialele de internet banking, folosindu-se de formulare false. Partea neplăcută este că datele furate de la victime au fost dezvăluite online, în text simplu, prin intermediul unui server expus.

Figura 1 - Aplicațiile rău intenționate de pe Google Play

Aplicațiile false au fost încărcate în Google Play în lunile iunie și iulie 2018, când ESET a anunțat că au fost eliminate, dar până atunci fuseseră deja instalate de sute de victime. Aplicațiile au fost încărcate sub trei nume diferite, fiecare reprezentând o altă bancă indiană: cu toate acestea, toate cele trei aplicații duc către același atacator.

Cum funcționează aplicațiile?

Toate cele trei aplicații urmează aceeași procedură. La deschidere, este afișat un formular care solicită detaliile cărții de credit (Figura 2). Dacă utilizatorii completează formularul și apasă "Trimite", aceștia sunt redirecționați către un formular care le solicită credențialele de login pentru internet banking (Figura 3). Interesant este faptul că, deși toate câmpurile sunt marcate ca fiind "obligatorii" (*), ambele formulare pot fi trimise cu succes necompletate - un indicator clar că ceva nu este în regulă.

Figura 2 - Formularele false de phishing a detaliilor cardului de credit

Figura 3 - Formularele false de phishing a detaliilor de login la internet banking

După interacțiunea cu aceste formulare - cu sau fără completarea acestora - utilizatorii sunt conduși la cel de-al treilea și ultimul pas, în care li se mulțumește pentru interesul acordat și îi informează că vor fi contactați în scurt timp de un "Customer Service Executive" (Figura 4). Desigur că nu va intra în contact nimeni cu victimele, iar aplicația nu oferă nicio altă funcționalitate dincolo de acest punct.

Figura 4 - Mesajul afișat la final, de aplicație

Între timp, datele introduse în aceste formulare sunt trimise în text simplu către serverul atacatorului. Lista de date furate, de pe acel server este accesibilă oricui are un link către aceasta, fără a fi necesară autentificarea. Pentru victime, acest lucru amplifică potențialele daune, dat fiind faptul că datele lor sensibile nu sunt disponibile doar pentru atacator, ci pentru oricine le întâlnește.

Figura 5 - Datele bancare furate, disponibile în text simplu pe serverul atacatorului

De curând, avertizam împotriva unei alte aplicații rău intenționate, care face informațiile furate disponibile oricui - o aplicație falsă, numită MyEtherWallet, care expune cheile private către portofelele victimelor. Aceste descoperiri subliniază și mai mult nevoia de prudență atunci când descărcați aplicații din categoria „Finanțe” - fie că vorbim de bani în sensul tradițional sau criptovalută.

Cum să rămâi în siguranță

Dacă ați instalat și folosit oricare dintre aceste aplicații rău intenționate, vă sfătuim să le dezinstalați imediat. Căutați în contul dvs. bancar după orice activitate suspectă și schimbați codul PIN al cardurilor de credit, precum și parola dvs. de internet banking.

Pentru a nu ajunge o victimă a aplicațiilor de phishing, vă recomandăm să:

  • Aveți încredere doar în aplicațiile bancare mobile care sunt asociate site-ului oficial al băncii
  • Nu introduceți niciodată informațiile bancare delicate în formulare online, dacă nu sunteți sigur de securitatea și legitimitatea acestora
  • Acordați atenție numărului de descărcări, evaluărilor și recenziilor unei aplicații, atunci când o descărcați din Google Play
  • Mențineți dispozitivul dvs. Android la zi cu actualizările și utilizați o soluție fiabilă de securitate mobilă; Produsele ESET detectează aceste aplicații rău intenționate ca Android/Spy.Banker.AHR

Aplicații bancare direcționate (legitime)

Numele aplicatiei Numele pachetului
iMobile de către ICICI Bank com.csam.icici.bank.imobile
RBL MoBANK com.rblbank.mobank
HDFC Bank MobileBanking (Nou) com.hdfc.retail.banking

IoCs

Pentru moment, nu vom mai publica indicatori de compromis mai specifici decât app ID-ul, pentru a evita expunerea datelor compromise.

Lukas Stefanko July 30, 2018

Lasa un comentariu