Kenkėjiškos „Android“ programos klonuoja tikras paslaugas ir programas, skirtas pavogti banko informaciją

2022 m. pradžia buvo kupina naujienų apie mobiliąsias kenkėjiškas programas. Dar vienu atveju, kai saugumo tyrinėtojai perėmė „Android“ pagrįstą kenkėjišką programinę įrangą, ESET komanda aptiko kampaniją, kuria buvo apgaudinėjama teisėta programėlė Malaizijos rinkoje ir naudojama jomis pavogti aukų bankinę informaciją.

Pasak mokslininkų, kampanijoje dalyvavo mažiausiai trys atskiros programos. Suklastotos „Android“ programos apgaudavo įvairias paslaugas ir su jomis susijusias teisėtas programas, kurios yra populiarios Azijos šalyje.

Kambarinės paslaugos tarp daugelio suklastotų programų

Kampanija buvo bandoma pavogti aukų bankininkystės kredencialus, taikiniu buvo aštuoni skirtingi bankai. Atrodo, kad namų kambarinės paslaugos yra labai aktuali tema Malaizijoje, nes dauguma apgaulingų programų buvo tos, kurios siūlo namų valymo ir kambarines paslaugas. Vardai buvo Grabmaid, Maid4u ir Maideasy. Gyvūnų parduotuvės paslauga taip pat buvo apgauta kenkėjiškų programų.

Nors dauguma programų, kurios buvo klonuotos ir įkeltos kenkėjiškomis programomis, egzistuoja kaip teisėtos, atskiros versijos „Google Play“ parduotuvėje, kai kurios paslaugos, kurių pavadinimais piktnaudžiauja įsilaužėliai, net neturi mobiliosios programos „Google Play“.

Išpuolio esmę sudaro tai, kad auka atsisiunčia netikrą programėlę ir bando nusipirkti joje esantį produktą ar paslaugą. Žinoma, įsilaužėliai nesiūlo jokio produkto ir visa tai yra fasadas. Bandant pirkti, klientui suteikiami du variantai, iš kurių vienas visada yra pilkas, paliekant tik banko pavedimą.

Jei auka bando pasinaudoti banko pavedimu, jam rodomas ekranas, kuriame yra aštuonių skirtingų Malaizijos bankų logotipai ir pavadinimai. Kai auka pasirenka banko paslaugą, ji turi įvesti savo kredencialus, tada jų banko informacija surenkama ir perkeliama į įsilaužėlių valdomą serverį.

Kenkėjiškos programos gali perimti MFA SMS

Įsilaužėliai netgi buvo sukūrę tinklalapius, kuriuose būtų galima naudoti kai kurias programas, siūlydami tuos pačius netikrus produktus ir paslaugas. Tinklalapiai buvo paprasti peradresavimai, nes bandant juose ką nors nusipirkti, auka tiesiog būtų nukreipta į kenkėjiškos netikros programėlės atsisiuntimą.

Kaip paskutinis triukas, kampanijos įsilaužėliai taip pat sukūrė kenkėjišką programą, kad perimtų MFA SMS žinutes, kurias bankai gali naudoti kaip papildomą apsaugą ir siųsti savo klientams. Tai nereiškia, kad kenkėjiška kampanija buvo patikima. Nukentėjusieji vis tiek iš niekur gautų URM tekstus, nesiimdami jokių veiksmų, kai programišiai vėliau bandytų išsiimti ar pervesti pinigus iš sąskaitų.