י"ח אדר ב' התשפ"ד
28.03.2024

סוס טרויאני הגונב פרטי כניסה לחשבונות בנק חוזר לחנות Google Play

'הסוס הטרויאני' שתוקף מכשירי אנדרואיד וגונב פרטי כניסה לחשבונות בנק, עליו דוווח בתחילת 2017, מצא את דרכו חזרה לחנות Google Play, בצורה חמקנית יותר מאי פעם • הכירו את BankBot

סוס טרויאני הגונב פרטי כניסה לחשבונות בנק חוזר לחנות Google Play



'הסוס הטרויאני' שתוקף מכשירי אנדרואיד וגונב פרטי כניסה לחשבונות בנק, עליו דוווח בתחילת 2017, מצא את דרכו חזרה לחנות Google Play, בצורה חמקנית יותר מאי פעם.

הכירו את BankBot, סוס טרויאני שדולה פרטי כניסה לחשבונות בנק שהתפתח לאורך השנה, והופיע מחדש בגרסאות שונות בתוך החנות של Google Play ומחוצה לה. הגרסה ב-Google Play בתאריך 04.09.2017 היא הראשונה מבין כולן ששילבה בהצלחה את הצעדים האחרונים באבולוציה של BankBot טשטוש משופר של הקוד, פונקציונאליות מתוחכמת של הפעולה הזדונית במכשיר, ומנגנון הדבקה ערמומי שמנצל לרעה את שירותי הנגישות (Accessibility Service) של מערכת האנדרואיד.

שימוש לרעה בשירות הנגישות של מערכת האנדרואיד נצפה בעבר במספר טרויאנים שונים, רובם מחוץ לחנות Google Play. ניתוחים שבוצעו לאחרונה ע"י SfyLabs ו-Zscaler אישרו את ההשערה שהנוכלים אשר מפיצים את וירוס ה-BankBot הצליחו להעלות ל-Google Play אפליקציה עם פונקציונליות שמנצלת את שירות הנגישות, אך ללא מטען של תוכנה זדונית לדליית פרטי בנק.

הגרסה הנוכחית, כוללת מטען של נוזקה השואבת את פרטי הכניסה לחשבונות הבנק של הקורבן, הצליחה להתגנב אל תוך Google Play במסווה של משחק בשם Jewels Star Classic (חשוב לציין שהתוקפים עשו שימוש לרעה בשמה של סדרת משחקים פופולרית ולגיטימית בשם Jewels Star, מבית מפתחת המשחקים ITREEGAMER, ואין קשר בין מפתחת המשחקים לבין קמפיין זדוני זה).

חברת ESET דיווחה לצוות האבטחה של Google על האפליקציה הזדונית, שהותקנה על ידי קרוב ל-5,000 משתמשים והיא הוסרה מהחנות.

מהו BankBot?

BankBot זוהה לראשונה על ידי חברת ESET בתאריך 26.12.2016, ונותח לראשונה על ידי Dr. Web, BankBot הוא סוס טרויאני שפעיל באנדרואיד וניתן לשליטה מרחוק, וביכולתו לאסוף פרטי בנק בעזרת טפסי התחברות מזויפים במספר אפליקציות, לשבש הודעות טקסט על מנת לעקוף אימות דו-שלבי, ולהציג התראות דחיפה (push notification) לא רצויות.

זמן קצר לאחר גילוי האפליקציות שהפכו לטרויאניות עקב BankBot בחנות האפליקציות Google Play בתחילת 2017, אימתנו שמקורן של האפליקציות הזדוניות הינו בקוד מקור שהפך ציבורי בפורומים מחתרתיים בדצמבר 2016. הזמינות הציבורית של הקוד הובילה לעלייה הן במספר והן בתחכום של סוסים טרויאניים מתחום הבנקאות במכשירים סלולריים.

איך זה עובד?

ברגע שהמשתמש התמים מוריד את המשחק Jewels Star Classic של מפתחת המשחקים GameDevTony (תמונה 1), הוא מקבל משחק אנדרואיד כמו כל משחק, אך עם כמה תוספים חבויים – מטען של תוכנה זדונית לבנקאות שאורב בתוך משאבי המשחק, ושירות זדוני שממתין להפעלה לאחר עיכוב קבוע מראש.

האפליקציה הזדונית כפי שהתגלתה ב-Google Play

השירות הזדוני מופעל 20 דקות לאחר ההפעלה הראשונית של Jewels Star Classic. המכשיר הנגוע מציג התראה שמבקשת מהמשתמש לאפשר דבר הנקרא "Google Service" (הערה: ההתראה הזדונית מופיעה ללא קשר לפעילותו של המשתמש באותו רגע, וללא קשר גלוי למשחק).

לאחר הלחיצה על מקש האישור, שהיא הדרך היחידה להעלים את ההתראה, המשתמש מועבר לתפריט הנגישות של האנדרואיד, שבו מנוהלים שירותים הכוללים אפשרויות נגישות. בקרב מספר שירותים לגיטימיים, מופיע שירות חדש בשם "Google Service", שנוצר על ידי התוכנה הזדונית. לחיצה על השירות מציגה תיאור שנלקח מתנאי השירות המקוריים של Google.

התראה שמבקשת מהמשתמש לאפשר את השירות "Google Service"

ברגע שהמשתמש מחליט להפעיל את השירות, תוצג בפניו רשימה של הרשאות נדרשות: לצפות בפעולות שלך, לאחזר תוכן חלונות, להפעיל חיפוש בעזרת מגע, להפעיל נגישות רשת משופרת ולבצע מחוות.

לחיצה על אישור מעניקה את הרשאות הנגישות לשירות הנגישות של התכונה הזדונית. בהענקת הרשאות אלה, המשתמש נותן לתוכנית הזדונית יד חופשיה - פשוטו כמשמעו – לבצע כל משימה שתצטרך על מנת להמשיך את פעילויותיה הזדוניות.

בפועל, לאחר אישור ההרשאות, המשתמש מאבד גישה למסך שלו לזמן קצר עקב "עדכון של Google Service" – מיותר לציין, לא עדכון של Google – שרץ ברקע.

איך להישאר בטוחים?

מלבד השימוש בפתרון אבטחה אמין למובייל, ישנם דברים אחרים שניתן לעשות בכדי לא ליפול קורבן לתוכנות זדוניות באנדרואיד:

• תמיד יש להעדיף חנויות אפליקציות רשמיות. למרות שהיא מלווה בבעיות משלה, Google Play משתמשת במנגנוני אבטחה מתקדמים; זה לאו דווקא המקרה בחנויות חלופיות.

• במידה ויש ספק לגבי התקנת אפליקציה, בדקו את הפופולריות שלה לפי מספר התקנות, דירוגים ותוכן הביקורות.

• לאחר שהפעלתם כל אפליקציה שהתקנתם במכשיר הסלולרי שלכם, שימו לב להרשאות שהיא מבקשת מכם. במידה ואפליקציה מבקשת הרשאות פולשניות – על אחת כמה וכמה אם הן קשורות בנגישות – יש לעבור עליהן בקפידה ובזהירות ולהעניק אותן רק במידה ואתם בטוחים לחלוטין באמינותה של האפליקציה.
Google Play BankBot סוס טרויאני פרטי חיבור לבנק אנדרואיד

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.message }}
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}
טען עוד