Android jest najpopularniejszym systemem na urządzenia mobilne na świecie. Przez to jest także najbardziej narażony na zagrożenia.

Nic dziwnego, że pojawia się na niego wiele wirusów i to przenoszonych poprzez aplikacje. Jak się okazuje, nie muszą być z niezaufanego źródła. Zarażone są aplikacje ze Sklepu Google jak choćby bardzo popularny QRecorder.

Aplikacja QRecorder skazywała jeszcze niedawno na 10 tys. pobrań.

Było to w momencie, kiedy na jaw wyszło, że jest ona po prostu trojanem bankowym. Okazuje się, że urządzeń, które były zarażone złośliwym oprogramowaniem, może być o wiele więcej. Przykro jest przyznać, że program ten był promowany przez dewelopera, który wprowadził go do repozytorium. Najbardziej narażone są przede wszystkim konta bankowe i to takie, do których użytkownicy uzyskują dostęp poprzez aplikacje klienckie. Okazało się, że owszem, apka pozwala na nagrywanie rozmów — jaki był jej główny cel. Nie było to jednak jedyne, co robiła. Jej celem pobocznym jest przejmowanie wiadomości SMS z kodami jednorazowymi lub tymi, które dotyczą choćby dwuskładnikowego uwierzytelniania.

Wydaje się niebezpieczne – i nie bez powodu.

To naprawdę niemały problem. Nie jest to jednak koniec. W następnej kolejności program identyfikując aplikację bankową, loguje się do niej za pomocą przechwyconych danych i próbuje dokonać przelewu na konto złodziei. QRecorder pozwala sobie także na wykradanie danych userów, zmuszając użytkownika do wprowadzenia danych. Niby, zagrożone są przede wszystkim konta czeskich banków, takie jak Raiffeisen Bank, ČSOB oraz Česká Spořitelna. Nie jest jednak udowodnione, że inne banki także nie są pod wpływem trojana. Eksperci wykazali, iż możliwe są także przejęcia kont w Air Bank, Equa, ING, BawagFioOberbank i Bank Austria.

Zapewne zastanawiacie się, z jakich mechanizmów korzysta QRecorder.

Otóż odpowiedź jest prosta. Aplikacja korzysta z BankBot (Anubis I), trojana bankowego, który nie został szeroko rozprzestrzeniony. Z informacji w sieci wynika, iż do tej pory zarejestrowano tylko ataki na dwóch użytkowników systemu Android z Czech. Obie osoby straciły w sumie 11 tys. euro. Nie jest jednak powiedziane, że przelewów było mniej. Specjaliście myślą, że takowe przelewy były po prostu na mniejszą kwotę, a co za tym idzie po prostu niezauważalne.

Na początku QRecorder pojawiał się w wersjach bezpiecznych.

Jak możecie się domyślić, zyskał zaufanie użytkowników i zrobił to po to, aby zbudować markę i bazę pozytywnych komentarzy. Hipokryzja poziom-hard! Trojan pojawił się po ostatniej aktualizacji w aplikacji. Na szczęście, Google już zareagowało na ten incydent i usunęło propozycję z repozytorium. Oczywiście, jeżeli posiadaliście tę aplikację, lub – co gorsza – dalej ją macie, pozbądźcie się jej i jak najszybciej sprawdźcie systemy na smarfonach antywirusem.

PJ
Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.