Οι ερευνητές της Kaspersky Lab έχουν ανακαλύψει μία νέα τροποποίηση του αρκετά γνωστού mobile banking Trojan Faketoken, το οποίο έχει αναπτυχθεί και είναι πλέον σε θέση να υποκλέψει προσωπικά στοιχεία από δημοφιλείς εφαρμογές για υπηρεσίες ταξί.
Η αγορά των mobile apps μεγαλώνει και προσφέρει όλο και περισσότερες υπηρεσίες που αποθηκεύουν εμπιστευτικά οικονομικά δεδομένα, συμπεριλαμβανομένων εφαρμογών για υπηρεσίες ταξί και υπηρεσίες μετακίνησης με κοινή χρήση οχήματος (ride-sharing apps) που απαιτούν πληροφορίες τραπεζικών λογαριασμών από τους χρήστες. Το γεγονός ότι αυτές οι εφαρμογές βρίσκονται εγκατεστημένες σε εκατομμύρια Android συσκευές παγκοσμίως τις καθιστά πιο ελκυστικές για τους ψηφιακούς εγκληματίες, οι οποίοι έχουν επεκτείνει σημαντικά τη λειτουργικότητα του κακόβουλου λογισμικού mobile banking.
Η νέα έκδοση του Faketoken πραγματοποιεί ζωντανή παρακολούθηση των εφαρμογών και μόλις ο χρήστης «τρέξει» μία συγκεκριμένη εφαρμογή, την επικαλύπτει με ένα παράθυρο ηλεκτρονικού phishing για να κλέψει τα στοιχεία του τραπεζικού λογαριασμού του θύματος. Το Trojan διατηρεί την ίδια διεπαφή, χρησιμοποιώντας τα ίδια σχέδια, χρώματα και λογότυπα, δημιουργώντας αυτομάτως μία αόρατη επικάλυψη. Βάσει των αποτελεσμάτων της έρευνας της Kaspersky Lab, οι εγκληματίες στοχεύουν με αυτό το κακόβουλο λογισμικό στις πιο δημοφιλείς διεθνείς εφαρμογές υπηρεσιών ταξί και υπηρεσιών μετακίνησης με κοινή χρήση οχήματος.
Επιπλέον, το Trojan υποκλέπτει όλα τα εισερχόμενα μηνύματα SMS μεταφέροντάς τα στους command and control servers του, επιτρέποντας στους εγκληματίες να έχουν πρόσβαση στο μοναδικούς κωδικούς επιβεβαίωσης που στέλνονται από τις τράπεζες ή άλλα μηνύματα που στέλνονται από διάφορες υπηρεσίες μετακινήσεων. Μεταξύ άλλων, αυτή η τροποποίηση του Faketoken μπορεί να παρακολουθεί τις κλήσεις των χρηστών, να τις καταγράφει και να μεταδίδει τα δεδομένα που προκύπτουν στους command and control servers.
Η επικάλυψη είναι μια κοινή λειτουργία που ενεργοποιείται σε πολλές mobile εφαρμογές. To 2016, η Kaspersky Lab ανέφερε μία τροποποίηση του Faketoken που επιτέθηκε σε περισσότερες από 2.000 χρηματοοικονομικές εφαρμογές σε όλο τον κόσμο, «μεταμφιεσμένο» ως διάφορα προγράμματα και παιχνίδια, συχνά μιμούμενο το Adobe Flash Player. Από τότε, το Faketoken έχει αναπτυχθεί περαιτέρω και έχει επεκτείνει γεωγραφικά τις δραστηριότητές του.
«Το γεγονός ότι οι ψηφιακοί εγκληματίες έχουν επεκτείνει τις δραστηριότητές τους από οικονομικές εφαρμογές σε άλλους τομείς, συμπεριλαμβανομένων υπηρεσιών ταξί και υπηρεσίων μετακίνησης με κοινή χρήση οχήματος, σημαίνει ότι οι προγραμματιστές αυτών των υπηρεσιών ίσως θελήσουν να δώσουν μεγαλύτερη προσοχή στην προστασία των χρηστών τους. Ο τραπεζικός κλάδος είναι ήδη εξοικειωμένος με συστήματα απάτης και κόλπα και έχει αντιδράσει εφαρμόζοντας τεχνολογίες ασφάλειας σε εφαρμογές, μειώνοντας έτσι σημαντικά τον κίνδυνο κλοπής κρίσιμων οικονομικών στοιχείων. Ίσως τώρα είναι καιρός οι άλλες υπηρεσίες που περιλαμβάνουν συναλλαγές με οικονομικά δεδομένα να ακολουθήσουν το παράδειγμα. Η νέα έκδοση του Faketoken στοχεύει κυρίως Ρώσους χρήστες. Ωστόσο, η γεωγραφία των επιθέσεων του θα μπορούσε εύκολα να επεκταθεί στο μέλλον. Το έχουμε δει με προηγούμενες εκδόσεις του Faketoken και άλλων τραπεζικών κακόβουλων προγραμμάτων στο παρελθόν», δήλωσε ο Viktor Chebyshev, ειδικός ασφαλείας της Kaspersky Lab.
Οι ερευνητές ανίχνευσαν επίσης επιθέσεις του Faketoken σε άλλες δημοφιλείς mobile εφαρμογές, όπως εφαρμογές ταξιδιών και κρατήσεων ξενοδοχείων, εφαρμογές για πληρωμές προστίμων τροχαίας, Android Pay και Google Play Market.
Για να προστατευθούν από το Faketoken Trojan και άλλες απειλές κακόβουλου λογισμικού για Android, η Kaspersky Lab συνιστά στους χρήστες να μην εγκαθιστούν εφαρμογές από άγνωστες πηγές και να χρησιμοποιούν στη συσκευή τους αξιόπιστη λύση ασφάλειας, όπως το Kaspersky Mobile Antivirus: Web Security & Applock.