Na Slovensku sa objavila nová, dobre maskovaná kampaň mobilného malvéru, ktorá cieli na používateľov Androidu. Škodlivé aplikácie sa šíria cez klamlivé reklamy a po úvodnej inštalácii preberajú kontrolu nad zariadením s cieľom krádeže peňazí a kryptomien. Aktuálne sa útoky viažu na aplikáciu „TikTok 18+ – Opravdu krátká videa“, pričom samotný názov je len maskovanie a môže sa meniť, informuje Národny bezpečnostný úrad.
Priebeh útoku
Útok prebieha v niekoľkých fázach. V prvej fáze obeť nainštaluje falošnú aplikáciu na základe podvodnej reklamy a udeľuje jej právo inštalovať ďalšie aplikácie. Následne prvá aplikácia stiahne a spustí druhý modul, ktorý žiada povolenie Accessibility. Po udelení tohto práva malvér kontinuálne sleduje obrazovku a simuluje dotyky, čím bez zásahu používateľa získava ďalšie oprávnenia — zmena systémových nastavení, čítanie a úprava kontaktov, prístup k schránke, prehrávanie zvukov a ovládanie stavu obrazovky.
Fáza 3 prináša hlavnú komponentu s finančnými schopnosťami. Hlavný modul dokáže automatizovane manipulovať s internetovým bankovníctvom, pričom výskumníci potvrdili podporu pre českú aplikáciu George, vrátane zmeny limitov pre prevody a samočinného zadávania a schvaľovania transakcií pomocou simulovaných dotykov. Cieľom sú tiež kryptopeňaženky MetaMask, Trust, blockchain.com a Phantom, ak majú používateľské rozhranie v angličtine, ruštine, češtine alebo slovenčine.
Malvér dokáže čítať a meniť obsah schránky, snímať obrazovku a živé vysielať jej obsah na riadiaci server, zisťovať reálne meno používateľa cez Google účet, ovládať WhatsApp a Facebook, zasielať platené SMS správy a uzamknúť zariadenie tak, aby pri odomykaní získal PIN, vzor alebo heslo. Voliteľná fáza 4 nasadzuje starší modul NFSkate, ktorý relayom preposiela NFC komunikáciu a umožňuje zneužitie platobnej karty v blízkosti telefónu.
Indikátory kompromitácie a kroky nápravy
Medzi najčastejšie signály kompromitáci patria neautorizované inštalácie aplikácií, prítomnosť nových Accessibility oprávnení, neočakávané zmeny systémových limitov, neznáme procesy s právami Accessibility. Národná jednotka pre riešenie kybernetických incidentov odporúča inštalovať aplikácie výhradne z oficiálnych obchodov, zakázať inštaláciu z neznámych zdrojov, neudeľovať práva Accessibility bez jasného dôvodu a vykonať audit oprávnení.
Pri podozrení na kompromitáciu je odporúčaný factory reset telefónu, okamžitá zmena všetkých hesiel, kontaktovanie banky a presun kryptomien na nové, bezpečné adresy, ideálne do hardvérovej peňaženky.
Útok demonštruje komplexnosť moderných mobilných hrozieb. Kobinácia sociálneho inžinierstva, zneužitia systémových API a viacfázovej architektúry umožňuje útočníkom diaľkovú kontrolu a priame finančné škody. Ostražitosť pri inštalácii aplikácií a prísna kontrola oprávnení zostávajú základnými opatreniami ochrany.
