Fałszywa aplikacja BZWBK w sklepie Google Play. Kradła dane logowania, czytała SMS-y

Robert Kędzierski
W oficjalnym sklepie Google Play była dostępna fałszywa aplikacja banku BZWBK. Po sygnałach od internautów już ją usunięto. My postanowiliśmy zainstalować jej kopię, by przekonać się jak bardzo jest groźna.

W sklepie Google Play przez co najmniej jeden dzień dostępna była aplikacja BZWBKlight, podszywająca się pod oryginalną aplikację Banku Zachodniego WBK. Reklama prowadząca do aplikacji pojawiła się w niektórych polskich serwisach internetowych. Można ją też było wyszukać za pomocą przeglądarki Google.

Fałszywa aplikacja BZWBKFałszywa aplikacja BZWBK WBK

Fałszywka miała służyć, według zapewnień twórców, do "wygodnego dostępu do usług banku". W rzeczywistości jednak jej głównym celem było wykradanie danych logowania i przechwytywanie wiadomości SMS.

Aplikację usunięto, ale nadal jest w sieci

Z informacji opublikowanych przez serwis Niebezpiecznik wynika, że po zgłoszeniach od zaniepokojonych internautów aplikację udało się usunąć ze sklepu Google Play. Wiadomo też, że pobrało ją co najmniej 100 osób. Jej kopie wciąż dostępne są w nieoficjalnych sklepach z aplikacjami. 

Biuro Prasowe Banku Zachodniego WBK wydało oświadczenie, w którym potwierdził istnienie problemu i zapewnia, że skieruje do swoich klientów odpowiednie ostrzeżenie.

Fałszywa aplikacja BZWBKFałszywa aplikacja BZWBK Fot. za Niebezpiecznik.pl

Lepiej tego nie instaluj

Pobraliśmy kopię aplikacji spoza oficjalnego sklepu. Podczas instalacji mechanizm obronny Play Protect wykrył, że deweloper nie jest mu znany i ostrzegł, że może to oznaczać niebezpieczeństwo. Nie wiemy jednak, czy podobny komunikat wyświetlał się osobom, które aplikację pobrały z Google Play. 

Wierna kopia oryginału

Potwierdziły się nasze najgorsze obawy. Przestępcy postarali się, by maksymalnie uśpić czujność ofiary. Po pierwsze szata graficzna jest łudząco podobna do tego, co znamy z oryginału. Po drugie komunikaty nie zawierają błędów językowych, co przecież zdarza się przy atakach wykorzystujących phishing. Atak jest starannie przygotowany.

Jedyne, co wzbudziło nasze wątpliwości, to prośba aplikacji o zgodę na wysyłanie i odbieranie SMS-ów. Użytkownik mniej zorientowany w kwestiach bezpieczeństwa może nie zdawać sobie sprawy, że udzielając takiej zgody pozwala przechwycić wiadomości z Banku i komunikować się przestępcom. 

Fałszywa aplikacja BZWBKFałszywa aplikacja BZWBK zrzut ekranu

Aplikacja poprosiła o login (NIK), a następnie o poszczególne litery hasła. To nieco zaskakujące - spodziewaliśmy się raczej, że fałszywa aplikacja będzie żądała wpisania całego hasła po to, by przestępcy nie mieli problemów z logowaniem się. 

Fałszywa aplikacja BZWBKFałszywa aplikacja BZWBK zrzut ekranu

Nie odważyliśmy się podać prawdziwych danych logowania z oczywistych względów. Aplikacja wykryła nieprawidłowe logowanie i podała nawet... oficjalny numer do banku gdyby użytkownik poprosił o pomoc.

Stanowczo odradzamy samodzielne próby instalacji aplikacji czy  "przechytrzenia" przestępców. O tym, że są w stanie wyprowadzić wszystkie z pieniądze z konta pisaliśmy niejednokrotnie. Jedna z ostatnich ofiar straciła w ten sposób 400 tys. zł.  Lepiej więc nie podawać żadnych danych nawet "na próbę". 

Według naszych ustaleń aplikacja pojawiła się w sieci 28 lipca (w sobotę), do sklepu Play trafiła dzień później. Nie jest dla nas jasne w jaki sposób twórcom aplikacji udało się obejść mechanizmy chroniące użytkowników. Wszystko wskazuje na to, że w kodzie aplikacji nie znajdowały się żadne niepokojące instrukcje. O komentarz poprosiliśmy Google. Tekst zostanie zaktualizowany, gdy tylko otrzymamy odpowiedź.

***

Dominika Nowak: Czasem tylko dzięki szalonej odwadze, można zacząć działać [NEXT TIME]

Więcej o:
Komentarze (25)
Fałszywa aplikacja BZWBK w sklepie Google Play. Kradła dane logowania, czytała SMS-y
Zaloguj się
  • zeriow

    Oceniono 11 razy 5

    Fajne te Google ze swoim sklepem dla androida. Jak nie fałszywa aplikacja banku, to wirusy podszywające się pod oficjalne aktualizacje usług Google. Najlepsza rada, to nic nie instalować ze sklepu, ale wtedy po co mi smartphone. Wystarczy nokia 3210. Niektórzy dają się pokroić za androida, a tutaj jak zawsze, maszyna szpiegowska.

  • jesiotr99

    Oceniono 11 razy 5

    google play za umieszczenie fałszywki w swoim sklepie powinno zwracać odszkodowania klientom.

  • jami88

    Oceniono 5 razy 3

    A po co mi jakakolwiek aplikacja bankowa?
    KAŻDA kolejna aplikacja do kolejny potencjalny punkt włamania.

    Do operacji bankowych używam tylko komputera stacjonarnego, z porządnym systemem bezpieczeństwa.

    A poza tym, może dzięki temu, rozsądnie wydaję pieniądze?

  • jacutin

    Oceniono 5 razy 3

    BZWBK. Czy to nie prezesem tego banku był krzywousty?

  • mi1111

    Oceniono 4 razy 2

    jakim trzeba byc idiota zeby trzymac 400k PLN na koncie z pełnym dostępem przez smartfona

  • vald

    Oceniono 10 razy 2

    Korzystam z bankowości mobilnej od 1 dnia kiedy to było możliwe Może dlatego że orientuję się w dziedzinie ogólnie znanej jako IT , nigdy nie miałem podobnych problemów jak opisane wyżej .
    Po prostu .Trzeba uważać. Kto tego nie robi - sam sobie winien.
    To jest jak dżungla. Przeżywają najsprytniejsi i najbardziej dostosowani.

  • qwertyuiop12345678900

    Oceniono 3 razy 1

    west corp? to chyba sie nie postarali

  • stalowy_jez

    Oceniono 4 razy 0

    Mam srajfona od chyba 5 lat. Niczego no nim nie zainstalowalem. Mozna? Mozna.

  • wiesscar

    Oceniono 1 raz -1

    Bankowosc to face to face.
    Wszystko inne dla hackerow.

Aby ocenić zaloguj się lub zarejestrujX