Aplikacja o niezbyt porywczej nazwie "Bankowość uniwersalna Polska" została odkryta w Google Play 20 marca. Miała oferować dostęp do kont bankowych, a - jak informuje firma ESET - okazała się bardzo groźnym oszustwem.
Na szczęście administracja sklepu z aplikacjami dla Androida zadziałała szybko i jeszcze tego samego dnia aplikację usunięto. Zdążyło pobrać ją nie więcej niż 100 osób.
W Google Play już się na nią nie natkniemy, jednak warto uważać, aby nie zainstalować jej z zewnętrznego źródła, bo program wciąż krąży w tzw. drugim obiegu.
Wszystko w jednym miejscu
Aplikacja kusi przede wszystkim możliwością zalogowania się do kont w aż 21 polskich bankach. Możliwość skorzystania z kilku rachunków w jednym miejscu może być bardzo zachęcająca.
Wystarczyło podać identyfikator lub alias, a następnie hasło i gotowe. Przynajmniej teoretycznie, bo w praktyce logowanie się nie odbywało. W tym czasie wrażliwe dane przesyłane były prosto w ręce twórców programu.
To jednak nie była jedyna "funkcja" "Bankowości uniwersalnej Polska". Aplikacja przejmowała SMS-y od banku nie wyświetlając ich użytkownikowi telefonu. W ten sposób przestępcy uwierzytelniali przelewy z kont nieświadomych niczego ofiar.
Za jej pomocą użytkownik spośród aż 21 polskich banków mógł wybrać ten, w którym posiada swój rachunek bankowy. Następnie był proszony o dane uwierzytelniające, czyli login i hasło. Te dane były wysyłane do hakera, a proces logowania do rachunku w ogóle nie miał miejsca. Aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie - użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich użytkowników
- tłumaczy Lukas Stefanko, badacz zagrożeń z ESET.
To już nie pierwszy taki przypadek
To nie pierwszy przypadek aplikacji stworzonej do okradania użytkowników smartfonów z Androidem. W listopadzie zeszłego roku wykryto podobny atak realizowany za pomocą dwóch programów z Google Play.
Wówczas celowano w klientów 14 polskich banków. Poza deklarowanymi funkcjami wyświetlane były też fałszywe komunikaty udające te generowane przez oficjalne aplikacje bankowe, co miało zmylić ofiary.
Jak nie wpaść w sidła oszustów?
Podstawową zasadą jest zabezpieczenie swojego telefonu odciskiem palca, skanerem tęczówki lub kodem. Chodzi o to, aby postronne osoby nie mogły w krótkim czasie dostać się do smartfona.
W żadnym przypadku nie należy pobierać aplikacji z nieznanych źródeł. Powyższe przykłady pokazują, że nawet te pochodzące z Google Play mogą być niebezpieczne, jednak ryzyko natrafienia na oszustwo jest mniejsze.
Warto też pamiętać, że bezpieczeństwo zapewniają oficjalne aplikacje stworzone przez poszczególne banki. Przestępcy często próbują podszywać się pod banki, dlatego zawsze należy upewnić się, że nazwa programu, dewelopera i opinie nie budzą żadnych wątpliwości.
Czytaj też: Oszuści uderzają w klientów banku PKO BP. Uważaj na ten przekręt, mogą ci wyczyścić konto
---
