Uwaga na nieustające ataki na klientów BZ WBK w sklepie Google Play

dodał 26 sierpnia 2018 o 21:00 w kategorii Błędy, Mobilne, Złośniki  z tagami:
Uwaga na nieustające ataki na klientów BZ WBK w sklepie Google Play

Od 27 dni trwają regularne ataki na klientów Banku Zachodniego WBK. W sklepie Google Play publikowane są aplikacje podszywające się pod program do obsługi mobilnej bankowości elektronicznej BZWBK24 mobile. Niestety ofiar nie brakuje.

Od 31 lipca do Google Play, oficjalnego sklepu z aplikacjami dla platformy Android, trafiają złośliwe programy wycelowane w klientów Banku Zachodniego WBK. Aplikacje przestępców, oprócz pojawiania się w wynikach wyszukiwania, są także promowane za pomocą reklam w Google AdWords, w serwisie Wykop.pl oraz w mobilnych serwisach z grami. Pierwszą wersję oprogramowania pod nazwą BZWBKlight przedstawiono jako „lekką” (uproszczoną, szybką) odmianę oficjalnej aplikacji banku.

Reklama fałszywej aplikacji

Zamieszczanie aplikacji takich jak BZWBK Light w oficjalnym sklepie Google sprawia, że zyskują one legitymizację Google i z tego względu wielu użytkowników może uznać je za godne zaufania. Niestety liczni posiadacze smartfonów bezrefleksyjnie wierzą w jakość i bezpieczeństwo sklepu Google Play, w którym niejednokrotnie już znajdowano złośliwe aplikacje.

Fałszywa aplikacja WBK Zachodni – opublikowana 24.08.2018

Mimo że program już na pierwszy rzut oka wykazywał znaczące różnice od oficjalnej aplikacji bankowej, to obserwując liczbę pobrań pierwszego z nich (ponad 100) oraz oficjalne komunikaty Banku Zachodniego WBK, można podejrzewać, że – poza samą instalacją – przynajmniej niektórzy oszukani klienci banku postanowili skorzystać z bankowości przy pomocy nowej aplikacji.

Jak działa złośliwa aplikacja

Ekran logowania fałszywej aplikacji

Działanie programu na pozór nie wygląda groźnie. Po zainstalowaniu i uruchomieniu aplikacja prosi o włączenie dostępu do powiadomień. Wymaga to kilku dodatkowych kliknięć, ale daje dostęp do treści SMSów – bez pytania o dostęp do treści SMSów. Aplikacja w końcu będzie „tylko” czytać powiadomienia. A w powiadomieniach będzie treść SMSów…

Aby uwiarygodnić potrzebę dostępu do powiadomień, przestępcy stosują metody socjotechniki, uzasadniając ją koniecznością „monitorowania podejrzanej aktywności, ataków phishingowych i zapobiegania rozprzestrzenianiu się złośliwych aplikacji”. Po akceptacji przez użytkownika aplikacja rozpoczyna swoje właściwe działanie, wyświetlając okienko do wpisania identyfikatora (NIK) do bankowości elektronicznej. Format loginu jest sprawdzany – wiadomo, że ma określoną długość i są to same cyfry. Gdy użytkownik poda NIK, aplikacja podszywa się pod niego, łącząc się z portalem bankowości mobilnej banku. Program przekazuje numer NIK i pobiera z portalu obrazek, który wyświetla użytkownikowi wraz z formularzem do wpisania hasła. Tu mała niespodzianka: formularz oczekuje wpisania pełnego hasła, podczas gdy w oryginalnej aplikacji hasło jest maskowalne i wpisuje się tylko wybrane znaki.

Jeżeli klient wpisze hasło, program loguje się w jego imieniu do konta bankowego. Dla aplikacji jest to dowodem na prawidłowość uzyskanych danych, które są następnie przekazywane na serwer C2 (Command and Control) przestępców. Na koniec użytkownikowi zostaje wyświetlony komunikat o błędnym logowaniu. Ten etap kończy działanie aplikacji, jednak nie wstrzymuje działania przestępców. Będąc w posiadaniu danych dostępowych do konta, cyberprzestępcy mogą się na nie zalogować i okraść konto ofiary. Są w stanie potwierdzić każdą operację, która wymaga kodu SMS,  ponieważ złośliwy program przechwytuje powiadomienia o wiadomościach SMS i przekierowuje je do przestępców.

Głębsza analiza

Aplikacja jest typowym złośliwym oprogramowaniem kradnącym ważne dane. Obecnie jest wykrywana jedynie przez program antywirusowy ESET jako Android/Spy.Banker.AIE. Używanie programów antywirusowych na urządzeniach przenośnych jest zalecane i ważne, jednak w tym wypadku ich skuteczność okazuje się niewielka.

Analiza pliku apk w usłudze VirusTotal

W praktyce opublikowanych zostało 7 różnych wersji aplikacji (różne pakiety apk i sumy kontrolne plików). Działanie programu we wszystkich jego wersjach jest niemal identyczne (takie jak opisano powyżej), jednakże głębsza analiza kodu pokazuje, że przestępcy poprawiają swoje błędy. Istnieją trzy generacje tej samej aplikacji. Każda z nich komunikuje się z innym serwerem C2, którego adres jest na stałe umieszczony w kodzie. Po analizie sieciowej i odkryciu takiego serwera podejmowane są kroki, by go wyłączyć. To powoduje, iż kolejne wersje komunikują się z następnymi serwerami.

Co ciekawe, każda aplikacja została podpisana cyfrowo przez swojego twórcę i zawsze są to identyczne certyfikaty używające danych rosyjskiej firmy w Moskwie i programisty o rosyjsko brzmiącym nazwisku. Oczywiście może to być także element strategii zaciemniania i zmylania analityków. Pewne błędy w nazewnictwie (np. organizacja BZWBK PKO lub BVZapps Ltd.) oraz wykorzystywana infrastruktura wskazują jednakże, że programy przygotowuje i publikuje ta sama obcojęzyczna grupa hakerska.

Certyfikaty jednej z aplikacji

Każda aplikacja jest udostępniania w sklepie Google Play z wykorzystaniem osobnego darmowego konta Google, np. bzwbsz@gmail.com, a  jej aktualizacje posiadają komentarze autora, np. Zawiera usprawnienia (także dla systemu Android P).

Daty publikacji fałszywych aplikacji w sklepie Google Play także wydają się nieprzypadkowe:

  • 31.07.2018 BZWBKlight,
  • 17.08.2018 Zachodni WBK mobile, Zachodni light,
  • 24.08.2018 Mobile Zachodni WBK, Zachodni Mobile, Zachodni mobile WBK,
  • 25.08.2018 WBK Zachodni mobile.

Poza pierwszą, do każdej publikacji dochodziło w weekend (o późnych godzinach w piątek lub sobotę). Takie działanie ma na celu opóźnienie wykrycia oszustwa i przeciągnięcie w czasie reakcji na zagrożenie. Przestępcy liczą na to, że wykrycie aplikacji i procedura jej usunięcia ze sklepu Google Play rozpocznie się dopiero w poniedziałek, a do tego czasu wielu klientów pobierze i użyje programu (jak wiadomo, weekend sprzyja zakupom). Przestępcy są świadomi, iż życie tego typu aplikacji w oficjalnych kanałach jest zazwyczaj krótkie (monitoring i działanie banku, negatywne opinie użytkowników), dlatego w ostatni weekend opublikowali jednocześnie aż 3 aplikacje, a po ich szybkim usunięciu już następnego dnia pojawiła się kolejna.

Warto zwrócić uwagę, iż już za kilkanaście dni Bank Zachodni WBK zmieni nazwę na Santander Polska, a wtedy obecne nazwy aplikacji zdezaktualizują się. Być może przestępcy zechcą wykorzystać proces rebrandingu i po zmianie nazwy, logotypów i szaty graficznej spróbują przekonać użytkowników do swoich kolejnych fałszywych aplikacji.

Informacje o ostatnich aplikacjach

Poniżej publikujemy informacje dotyczące 4 ostatnich próbek złośliwej aplikacji.

Co robi bank

Walka z tego rodzaju zagrożeniem nie jest prosta – przestępcy są bardzo aktywni, a możliwość umieszczania przez nich aplikacji w oficjalnym sklepie Google nie pomaga. Bank nie podaje szczegółów swoich działań operacyjnych, uznając, że zbyt dokładne informacje mogą ułatwić przestępcom modyfikowanie aplikacji i całego modus operandi oszustwa. Osoby odpowiedzialne za cyberbezpieczeństwo w banku zapewniają, iż problem fałszywych aplikacji bank traktuje priorytetowo, a zespoły reagowania na incydenty bezpieczeństwa oraz wykrywania oszustw pracują w trybie ciągłym 24 godzin na dobę.

Zastanówmy się, co mógłby zrobić bank w takiej sytuacji. Pierwszym krokiem powinna być komunikacja z dostawcą aplikacji (czyli Google Play) i przekonanie go, iż dystrybuuje fałszywe aplikacje i ułatwia popełnienie przestępstwa. Z punktu widzenia klienta to właśnie Google Play „sprzedał aplikację” (co nawet jest wprost napisane na stronie produktu: Sprzedawca Google Commerce Ltd). Kolejnym krokiem może być poprawa monitoringu sklepu i wypracowanie mechanizmu, by aplikacje szybko były oznakowywane jako fałszywe i znikały ze wszelkich miejsc publicznych, gdyż zazwyczaj po usunięciu z Google są one dostępne w alternatywnych (powszechnie uznanych za niezaufane) repozytoriach pakietów oprogramowania na Androida (np. apkpure.com). Wskazane jest także zgłaszanie do dostawców oprogramowania antywirusowego sygnatur aplikacji, by były one szybciej prawidłowo rozpoznawane i blokowane przez użytkowników używających programu antywirusowego na telefonie. Dodatkowo u użytkowników Androida korzystających z domyślnie włączonej usługi Play Protect po usunięciu złośliwej aplikacji z Google Play zostanie ona także usunięta z telefonu – niezależnie od źródła jej pochodzenia.

Kolejną ważną rzeczą jest uświadamianie klientów. W tym wypadku już widzimy, iż bank w swoich kanałach komunikacyjnych (media społecznościowe, WWW, blog) publikuje ostrzeżenia oraz wysyła wiadomości do swoich użytkowników. Po głębszej analizie aplikacji można podjąć jeszcze kilka działań reakcyjnych oraz prewencyjnych, takich jak dystrybucja informacji o aplikacji i jej wskaźnikach ataku w instytucjach zajmujących się bezpieczeństwem.

Można również zastanowić, czy wszystkie udogodnienia bankowości elektronicznej powinny być domyślnie włączone. A także czy aktywacja lub deaktywacja niektórych usług (np. przelewy zagraniczne, Blik, likwidacja lokat oszczędnościowych) powinna być potwierdzana jedynie kodem SMS. Kosztem niewielkiego ograniczenia wygody użytkowania bankowości elektronicznej można znacząco utrudnić przestępcom kradzież pieniędzy z konta.

Co może zrobić użytkownik?

Dystrybucja fałszywych programów przez Google Play pokazuje, że sklep nie może być traktowany jako stuprocentowo bezpieczne źródło aplikacji. Pobierając aplikację bankową, zawsze warto zwrócić uwagę na kilka elementów. Przede wszystkim odradza się instalowanie aplikacji, które są reklamowane – nie należy klikać w wyskakujące banery na różnych stronach. Bank przekonuje, że jego aplikacja jest dostępna ze stron Banku oraz poprzez linki na oficjalnych stronach bankowości mobilnej, natomiast obce strony mogą kierować do podróbek.

BZWBKlight – fałszywa aplikacja w sklepie Google Play

Koniecznie trzeba sprawdzić, przez kogo został opublikowany program w sklepie Google Play. Oficjalne aplikacje są wydawane przez Bank Zachodni WBK S.A., a ich programista (wyświetlany na stronach do pobrania) powinien posługiwać się mailem w domenie banku (np. kontakt@bzwbk.pl). Pobieranie aplikacji, którą opublikował ktoś posługujący się darmowym mailem (np. w domenie gmail.com) wskazuje wprost, że nie jest to produkt oficjalny, lecz  program „domowej roboty”.

Aplikacja bankowa powinna być popularna wśród klientów. Można ocenić jej reputację, czytając oceny innych użytkowników. Brak ocen lub jednoznaczne negatywne komentarze wskazują na zagrożenia. Niska liczba pobrań (mniej niż 100 czy nawet 1000) powinna sugerować, że dana aplikacja może być oszustwem.

Instalując jakąkolwiek aplikację, trzeba sprawdzić, jakich uprawnień ona od nas wymaga, np. czy na pewno każda z usług jest niezbędna do jej poprawnego działania. Jeżeli jeszcze potrzeba łączenia się z siecią może być zrozumiała, to czytanie SMS-ów przez aplikację powinno już wydać się dziwne.

I ostatnia rada: jeżeli mimo wszystko ktoś zainstalował aplikację, która w swoim działaniu wydaje się podejrzana (np. mimo wpisania prawidłowego hasła nie możemy się zalogować, formularze są niedopracowane, komunikaty są z błędami), należy jak najszybciej skontaktować się z bankiem i poinformować o swoich podejrzeniach. Taki kontakt może uratować nasze pieniądze na koncie.

Scenariusz tego ataku dodaliśmy już do naszego szkolenia uświadamiającego internautów w sekcji „zagrożenia dla bankowości mobilnej”. Jeśli chcecie się dowiedzieć, o czym jeszcze opowiadamy, zaproście nas do swojej organizacji, a chętnie podzielimy się swoją wiedzą i doświadczeniem.