Skoči na vsebino

Z mobilnimi aplikacijami kradejo denar iz bančnih računov

Čas, ko smo slovenski uporabniki na mobilne telefone precej težko dobili škodljiv virus, je mimo. Virusi za mobilne naprave sicer niso nekaj novega, je pa bilo do okužbe z njimi z upoštevanjem osnovne varnostne prakse, da torej aplikacije vedno nameščamo zgolj iz uradnih virov, precej težko priti. Po novem pa tudi to osnovno pravilo nameščanja aplikacij ne varuje pred vsemi nevarnostmi.

Nedavno smo na SI-CERT obravnavali primere kraje denarja iz slovenskih mobilnih bank s pomočjo škodljivih mobilnih aplikacij za Android telefone. Vsem je bilo skupno, da so uporabniki škodljivo aplikacijo sami namestili iz uradne Googlove tržnice aplikacij in ji dodelili pravice za storitve dostopnosti.

Preverite, če imate naloženo škodljivo aplikacijo

Aplikacije, ki jih Google uvrsti v svojo tržnico, morajo iti čez različne postopke preverjanja, ki poskušajo identificirati tudi škodljive aplikacije. Včasih pa uspe napadalcem ta preverjanja prelisičiti, tako da se njihove škodljive aplikacije znajdejo na sicer varni tržnici, od koder jo namestijo nič hudega sluteči uporabniki.

V obravnavanem primeru je šlo za aplikacije s sledečimi imeni:

  • Phone Cleaner – File Explorer
  • PDF Viewer – File Explorer
  • PDF Reader – Viewer & Editor
  • PDF Reader – File Manager
  • QR Reader & File Manager
Ikone zlonamernih aplikacij v Google Play Store.
Ikone zlonamernih aplikacij.

Napadalcem je uspelo s posebnimi triki te škodljive aplikacije uvrstiti v seznam novih aplikacij z največ namestitvami, zato so se uporabnikom dostikrat prikazale kot priporočene aplikacije. Če ste katero od teh aplikacij v zadnjem obdobju namestili, jo čimprej odstranite po navodilih na koncu članka. 

V tem primeru je bilo potrebno škodljivo aplikacijo ročno namestiti. Do namestitve ni moglo priti brez interakcije uporabnika.

Če niste prepričani, ali ste namestili tako aplikacijo, lahko na telefonu preverite, ali imate nameščeno katero od njih. To storite tako, da greste v Nastavitve > kliknete na Aplikacije > nato pa vsako navedeno aplikacijo iščete po imenu. Hkrati tudi preverite, ali imate nameščeno aplikacijo TeamViewer, sploh če te sami ne uporabljate. Teamviewer je sicer legitimna aplikacija, ki se uporablja za oddaljeni nadzor telefona. V konkretnem primeru so jo uporabljali tudi napadalci, saj so se preko nje prijavili v mobilno banko in prenakazali denar. Če najdete nameščeno aplikacijo TeamViewer, pa je sami ne uporabljate, je to lahko znak, da je prišlo do zlorabe.

Pravice in dostopi za aplikacije

Aplikacije za svoje delovanje zahtevajo določene pravice. Nekatere od teh pravic so lahko zelo nevarne, zato je precej pomembno, da aplikaciji nikoli ne omogočimo pravic, za katere nismo prepričani, zakaj jih uporabljajo.

Okužene aplikacije so zahtevale pravice za dostop do storitev dostopnosti (ang. accessibility service). To so storitve, ki uporabniku sicer olajšajo uporabo telefona, npr. povečava fontov, ‘talk back’ funkcija, bralnik SMS-ov in tako dalje. Gre za eno najnevarnejših pravic, ki jo pogosto izrabljajo prav škodljive aplikacije, saj lahko preko njih prevzamejo popoln nadzor nad telefonom. Če okuženi aplikaciji omogočite te pravice, lahko ta beleži vse, kar počnete na mobilnem telefonu, vključno z beleženjem vpisanih gesel in PIN-kod, ter te prestrežene/shranjene podatke, pošlje napadalcu. 

Aplikacija s temi pravicami lahko zajema zaslon, beleži vse pritiske in vnose gesel in celo sama odpira druge aplikacije. Če ima dostop do SMS sporočil, lahko pridobi tudi avtentikacijske kode za storitve, kjer ima uporabnik nastavljeno dvofaktorsko preverjanje (2FA). Na ta način aplikacija pridobi vse potrebne podatke za odklep naprave, prijavo v mobilno banko in za izvedbo nakazila denarja.

Kako lahko preverim, katere aplikacije imajo pravice za dostop storitev dostopnosti?

Na novejših android telefonih to lahko preverite v Nastavitvah > Dostopnost > Nameščene aplikacije, drugače pa preverite navodila za vaš telefon.

Bodite pozorni na nenavadno obnašanje telefona

Škodljive aplikacije delujejo v ozadju, tako da uporabniku ne dajo vedeti, da se na njegovem telefonu dogaja nekaj škodljivega. Se pa lahko zgodi, da se baterija okuženega telefona kar naenkrat hitreje izprazni, telefon se neobičajno greje, lahko se tudi prižiga sredi noči ali pa se na njem odpirajo aplikacije, brez da bo uporabnik to sam počel. Taki znaki so lahko pokazatelj, da je nekaj narobe, vendar pa ni nujno, da je vzrok okužba telefona z virusom. To se lahko dogaja tudi zaradi drugih razlogov, npr. kakšne programske ali strojne napake.

Kako aplikacija pride do vaše mobilne banke?

Okužena aplikacija čaka, da odprete svojo mobilno banko, nato pa jo v istem trenutku prekrije z lažnim obrazcem za vpis podatkov. Ko v ta obrazec vnesete svoje podatke, npr. PIN-kodo, jih aplikacija posreduje napadalcu. 

V naslednji fazi pa napadalec na telefon naloži aplikacijo za oddaljen dostop (običajno TeamViewer), s PIN-kodo odpre mobilno banko, in prenakaže sredstva na tuj račun. 

Če je dostop do mobilne banke zaščiten s prstnim odtisom, škodljiva aplikacija sicer ne more neposredno dostopati oz. ukrasti prstnega odtisa. Lahko pa s posebnim trikom prelisiči uporabnika, da s prstom dalj časa pritiska na senzor za prstni odtis, npr. pod krinko, da odpira neko drugo aplikacijo, v ozadju pa dejansko odpre in odklene mobilno banko.

Kaj lahko storite, če ste namestili škodljivo aplikacijo?

Škodljive aplikacije uporabljajo zaščito, zaradi katere jih ne morete odstraniti na običajen način. Lahko pa jo odstranite v varnem načinu. To storite tako, da držite tipko za izkop naprave, ki na zaslonu odpre meni z možnostmi za izklop naprave, kot pri običajnem postopku izklopa. Za zagon naprave v varnem načinu je nato potrebno na meniju prikaza držati ikono za izklop, dokler naprava ne ponudi ponovnega zagona v varnem načinu. V tem načinu se ob vklopu naprave škodljiva aplikacija ne zažene, zato jo lahko varno odstranite oz. izbrišete z naprave.

Zgornja navodila pa ne delujejo v vseh primerih, saj se lahko zgodi, da škodljiva aplikacija prepreči ponovni zagon telefona. V tem primeru morate telefon najprej ugasniti, npr. tako, da odstranite baterijo, ali pa pustite, da se baterija telefona do konca izprazni. Pred tem izklopite vse povezave v omrežje, postopek izpraznitve baterije pa lahko pohitrite, če povečate svetlost zaslona ali izvajate procesorsko zahtevna opravila (npr. snemanje 4K videa ali igranje grafično zahtevnih iger). Ko se telefon izprazni, ga priključite na napajanje in zaženite v varnem načinu tako, da med procesom zaganjanja držite tipko za zmanjšanje glasnosti (oz. preverite navodila svojega telefona).

V primeru kakršnekoli zlorabe sistema je najvarnejši ukrep tovarniška ponastavitev naprave. S tem si zagotovite, da se odstranijo tudi kakšna stranska vrata, ki so jih namestili napadalci, in ki jih z običajnim pregledom naprave ne najdete. Tovarniška ponastavitev izbriše vse uporabniške podatke, zato vedno predhodno naredite varnostno kopijo.

V primeru, da je zaradi zlorabe prišlo do kraje denarja, pa takoj kontaktirajte banko in podajte prijavo na policijo.

Komentarji / 0

Pred objavo na portalu bo vaš komentar odobren s strani uredništva.
Preberite pravila komentiranja na portalu.
Vaš e-naslov ne bo nikoli objavljen ali posredovan tretjim osebam.