Používatelia bankových aplikácií na platforme Android sa stali opäť obeťami významného bezpečnostného incidentu. Bankový trojan Anatsa, využívaný kyberzločincami na získavanie citlivých prihlasovacích údajov, sa objavil v oficiálnom prostredí Obchodu Google Play. Hackeri pritom infikovali približne 90-tisíc zariadení prostredníctvom aplikácie, ktorá sa na prvý pohľad tvárila úplne neškodne ako jednoduchý prehliadač PDF dokumentov. Incident prvotne analyzoval server Bleeping Computer s odvolaním sa na dáta poskytnuté spoločnosťou ThreatFabric.
Škodlivý softvér zamaskovaný za legitímnu aplikáciu
Problematická aplikácia s názvom „PDF Update“ sa v Google Play objavila 7. mája tohto roka pod značkou vývojára „Hybrid Cars Simulator, Drift & Racing“. Toto zavádzajúce pomenovanie malo používateľom dodať pocit dôveryhodnosti a zmiasť potenciálnych používateľov v otázke legitímnosti aplikácie. Až počas prvých šiestich týždňov totiž aplikácia skutočne plnila svoju uvádzanú funkciu spoľahlivého prehliadača dokumentov vo formáte PDF bez akéhokoľvek podozrivého správania.
Až po tomto úvodnom období pribudla aplikácii škodlivá aktualizácia, ktorá v tichosti umožnila stiahnutie ďalšej škodlivej komponenty a okamžité nadviazanie komunikácie s ovládacím serverom hackerov. Prostredníctvom tohto servera bola aplikácii následne dodávaná konfigurácia so zoznamom cieľových bankových aplikácií určených na infikovanie.
Útok prebiehal spôsobom, pri ktorom sa používateľovi po otvorení bankovej aplikácie zobrazilo presvedčivé, avšak falošné upozornenie o údajnej plánovanej technickej údržbe zo strany príslušnej banky. Pod zásterkou tejto falošnej informácie útočníci potajomky získavali prihlasovacie údaje klientov. Obeť si spravidla všimla útok až v momente zistenia neoprávnených transakcií na svojom bankovom účte.
Sofistikovane navrhnutá stratégia podvodníkov
Zneužitie falošných varovných obrazoviek v rámci skutočných bankových aplikácií patrí medzi osvedčené metódy skupín používajúcich trójskeho koňa Anatsa, ktorý je bezpečnostným expertom známy aj pod názvami TeaBot či Toddler. Táto technika patrí k vysoko efektívnym metódam sociálneho inžinierstva, pričom nepotrebuje využívať žiadne konkrétne technické zraniteľnosti v softvéri.
Okrem uvedeného postupu útoky využívajú aj ďalšie vysokorizikové techniky – napríklad zaznamenávanie stlačených kláves (tzv. keylogging) alebo dokonca úplné ovládnutie infikovaného mobilného zariadenia používateľa (device takeover fraud). Aj napriek tomu však pôvodná aplikácia v Google Play získavala na popularite, čo ju vyšvihlo až na štvrté miesto najobľúbenejších bezplatných nástrojov, čo kyberútočníkom umožnilo počas krátkeho, len šesťdňového obdobia aktivity od 24. júna do 30. júna úspešne infikovať až 90-tisíc zariadení.
Dôsledky pre reputáciu Google Play
Tento kybernetický útok výrazne poškodzuje dlhoročnú povesť Obchodu Google Play ako podľa mnohých bezpečného miesta na získavanie aplikácií pre operačný systém Android. Fakt, že vysoko sofistikovaný a škodlivý malvér dokázal úspešne preniknúť cez bezpečnostné filtry spoločnosti Google, naznačuje existujúce vážne nedostatky v preventívnych opatreniach tohto populárneho digitálneho obchodu.
Napriek promptnej reakcii Googlu na odstránenie škodlivej aplikácie zo svojej platformy sa incident znova stal príkladom pravidelných kybernetických hrozieb, ktoré prichádzajú v cykloch – obdobia útokov strieda nečinnosť, počas ktorej útočníci prispôsobujú svoje metódy a spôsoby šírenia škodlivého softvéru tak, aby prekonali obrané mechanizmy online obchodov.
Bezpečnostní analytici odporúčajú verejnosti byť mimoriadne ostražitá voči všetkým mobilným aplikáciám, ktoré sa na prvý pohľad zdajú neškodné, a to najmä pri ich inštalácii a aktualizáciách. Tento prípad totiž znova upozornil na neustále zdokonaľovanie sa kyberzločincov a pretrvávajúce bezpečnostné riziko, ktoré predstavuje bankový malvér Anatsa pre používateľov internetového a mobilného bankovníctva.
