Pozor na túto aplikáciu. Kradne peniaze z mobilu a ovláda ho na diaľku

Podľa výskumníkov je škodlivý kód šírený ako séria viacerých aplikácií, pričom používateľ je najprv nalákaný na inštaláciu úvodnej aplikácie prostredníctvom falošnej reklamy. Momentálne ide o reklamu na aplikáciu s názvom „TikTok 18+ – Opravdu krátká videa“, no útočníci ju môžu kedykoľvek zmeniť podľa aktuálnych potrieb a cieľovej skupiny.

Podľa NBÚ po nainštalovaní tejto prvej aplikácie a udelení požadovaných práv už používateľ stráca nad zariadením kontrolu. Práve preto je dôležité, aby používatelia neumožňovali inštaláciu aplikácií z nedôveryhodných zdrojov a vždy posudzovali, aké prístupové práva aplikáciám poskytujú. Ak aplikácia požaduje neprimerané povolenia, je potrebné žiadosť zamietnuť a aplikáciu odinštalovať.

Prvá fáza škodlivého kódu požiada o právo inštalovať ďalšie aplikácie. Ak používateľ toto povolenie udelí, nasleduje automatické stiahnutie, inštalácia a spustenie druhej fázy, ktorá si vyžiada prístup k funkcii „Prístupnosť“ (Accessibility). Tá umožní škodlivému softvéru vidieť obsah obrazovky a vykonávať kliknutia za používateľa.

Plne automatizovaný útok

Druhá fáza zneužije udelené oprávnenia, aby si automaticky povolila ďalšie práva – konkrétne možnosť meniť systémové nastavenia a čítať či upravovať kontakty. Následne stiahne tretiu fázu, ktorá už slúži na samotné krádeže finančných prostriedkov. Od tohto momentu už prebieha celý útok plne automaticky a nevyžaduje si ďalšiu interakciu používateľa.

Tretia fáza, ktorá predstavuje hlavnú časť útoku, dokáže vykonávať široké spektrum škodlivých činností. Vie zobrazovať ľubovoľný obsah na obrazovke podľa pokynov z riadiaceho servera útočníka, ovládať aplikácie internetového bankovníctva (napríklad českú aplikáciu George) vrátane zmeny platobných limitov a zasahovať do kryptopeňaženiek MetaMask, Trust, blockchain.com či Phantom, ak sú nastavené v angličtine, ruštine, češtine alebo slovenčine.

Okrem toho dokáže tretia fáza otvoriť a ovládať aplikácie WhatsApp a Facebook, nastavovať zvonenie a podsvietenie obrazovky, čítať a meniť obsah v schránke skopírovaného textu, prehrávať ľubovoľné zvuky, zisťovať skutočné meno používateľa z jeho Google účtu, zaznamenávať obrazovku a vysielať jej obsah útočníkovi, odosielať spoplatnené SMS správy, inštalovať ďalší škodlivý softvér NFSkate, ako aj uzamknúť zariadenie a získať PIN, vzor či heslo pri jeho odomykaní.

Krádeže financií a kryptomien na diaľku

Schopnosti tretej fázy malvéru umožňujú útočníkom prinútiť používateľa zadať autorizačné údaje a následne „kliknutím“ priamo v bankových aplikáciách schváliť prevod peňazí z účtu obete. Rovnako dokáže ukradnúť kryptomeny z podporovaných peňaženiek, pričom celý proces prebieha bez vedomia a zásahu používateľa.

Voliteľná štvrtá fáza útoku predstavuje starší malvér s názvom NFSKate. Tento škodlivý softvér preposiela bezdrôtovú komunikáciu útočníkovi, čo môže viesť až k zneužitiu platobných kariet, ktoré sa nachádzajú v blízkosti infikovaného zariadenia. Útočníci ich tak môžu použiť na platby prakticky z akejkoľvek lokality na svete.

Celý útok je navrhnutý tak, aby bol plne automatizovaný a neviditeľný. Obete často ani netušia, že ich zariadenie je ovládané na diaľku, kým neprídu o finančné prostriedky alebo citlivé údaje.

Odporúčania pre používateľov

Výskumníci z ThreatFabric upozorňujú, že najúčinnejšou ochranou je prevencia. Používatelia by mali inštalovať aplikácie výhradne z oficiálnych obchodov, ako je Google Play, a nepovoľovať iným aplikáciám inštaláciu ďalších aplikácií ani využívanie služieb prístupnosti, pokiaľ to nie je nevyhnutné.

Ak si niekto nainštaloval aplikáciu „TikTok 18+ – Opravdu krátká videa“, stal sa podľa odborníkov obeťou podvodu. Útočníci môžu mať stále plnú kontrolu nad jeho zariadením, a to aj v prípade, že aplikáciu už odstránil. V takom prípade je nutné obnoviť telefón do továrenských nastavení, okamžite zmeniť všetky heslá a prístupové údaje, kontaktovať svoju banku a požiadať o zabezpečenie účtu, ako aj presunúť kryptomeny na nové bezpečné adresy – ideálne do hardvérovej peňaženky.

Zároveň je potrebné skontrolovať všetky udelené práva nainštalovaným aplikáciám a nepotrebné oprávnenia vypnúť. Len tak je možné minimalizovať riziko, že sa podobný útok v budúcnosti zopakuje.

Kalendár

Deň parmazánu

27. října

Dnes je Deň parmazánu

Deň parmezánu je medzinárodná oslava, ktorá sa koná každý rok 27. októbra. Tento deň vyhlásilo v roku 2012 konzorcium Parmigiano Reggiano.Parmigiano-Reggiano, mimo Talianska často známy ako parmezán, je... Viac

Preskúmajte ďalšie dni v našom kalendári

Celý kalendárMedzinárodné dniŠtátne sviatkyPrázdninyMeniny

Miroslav Homola

Redaktor Peniaze.sk, venuje sa dôchodkom, sociálnym dávkam a rodinným financiám. Ďalšie články autora.