Fałszywa aplikacja BZWBK w sklepie Google Play. Kradła dane logowania, czytała SMS-y

Robert Kędzierski
W oficjalnym sklepie Google Play była dostępna fałszywa aplikacja banku BZWBK. Po sygnałach od internautów już ją usunięto. My postanowiliśmy zainstalować jej kopię, by przekonać się jak bardzo jest groźna.

W sklepie Google Play przez co najmniej jeden dzień dostępna była aplikacja BZWBKlight, podszywająca się pod oryginalną aplikację Banku Zachodniego WBK. Reklama prowadząca do aplikacji pojawiła się w niektórych polskich serwisach internetowych. Można ją też było wyszukać za pomocą przeglądarki Google.

Fałszywa aplikacja BZWBKFałszywa aplikacja BZWBK WBK

Fałszywka miała służyć, według zapewnień twórców, do "wygodnego dostępu do usług banku". W rzeczywistości jednak jej głównym celem było wykradanie danych logowania i przechwytywanie wiadomości SMS.

Aplikację usunięto, ale nadal jest w sieci

Z informacji opublikowanych przez serwis Niebezpiecznik wynika, że po zgłoszeniach od zaniepokojonych internautów aplikację udało się usunąć ze sklepu Google Play. Wiadomo też, że pobrało ją co najmniej 100 osób. Jej kopie wciąż dostępne są w nieoficjalnych sklepach z aplikacjami. 

Biuro Prasowe Banku Zachodniego WBK wydało oświadczenie, w którym potwierdził istnienie problemu i zapewnia, że skieruje do swoich klientów odpowiednie ostrzeżenie.

Fałszywa aplikacja BZWBKFałszywa aplikacja BZWBK Fot. za Niebezpiecznik.pl

Lepiej tego nie instaluj

Pobraliśmy kopię aplikacji spoza oficjalnego sklepu. Podczas instalacji mechanizm obronny Play Protect wykrył, że deweloper nie jest mu znany i ostrzegł, że może to oznaczać niebezpieczeństwo. Nie wiemy jednak, czy podobny komunikat wyświetlał się osobom, które aplikację pobrały z Google Play. 

Wierna kopia oryginału

Potwierdziły się nasze najgorsze obawy. Przestępcy postarali się, by maksymalnie uśpić czujność ofiary. Po pierwsze szata graficzna jest łudząco podobna do tego, co znamy z oryginału. Po drugie komunikaty nie zawierają błędów językowych, co przecież zdarza się przy atakach wykorzystujących phishing. Atak jest starannie przygotowany.

Jedyne, co wzbudziło nasze wątpliwości, to prośba aplikacji o zgodę na wysyłanie i odbieranie SMS-ów. Użytkownik mniej zorientowany w kwestiach bezpieczeństwa może nie zdawać sobie sprawy, że udzielając takiej zgody pozwala przechwycić wiadomości z Banku i komunikować się przestępcom. 

Fałszywa aplikacja BZWBKFałszywa aplikacja BZWBK zrzut ekranu

Aplikacja poprosiła o login (NIK), a następnie o poszczególne litery hasła. To nieco zaskakujące - spodziewaliśmy się raczej, że fałszywa aplikacja będzie żądała wpisania całego hasła po to, by przestępcy nie mieli problemów z logowaniem się. 

Fałszywa aplikacja BZWBKFałszywa aplikacja BZWBK zrzut ekranu

Nie odważyliśmy się podać prawdziwych danych logowania z oczywistych względów. Aplikacja wykryła nieprawidłowe logowanie i podała nawet... oficjalny numer do banku gdyby użytkownik poprosił o pomoc.

Stanowczo odradzamy samodzielne próby instalacji aplikacji czy  "przechytrzenia" przestępców. O tym, że są w stanie wyprowadzić wszystkie z pieniądze z konta pisaliśmy niejednokrotnie. Jedna z ostatnich ofiar straciła w ten sposób 400 tys. zł.  Lepiej więc nie podawać żadnych danych nawet "na próbę". 

Według naszych ustaleń aplikacja pojawiła się w sieci 28 lipca (w sobotę), do sklepu Play trafiła dzień później. Nie jest dla nas jasne w jaki sposób twórcom aplikacji udało się obejść mechanizmy chroniące użytkowników. Wszystko wskazuje na to, że w kodzie aplikacji nie znajdowały się żadne niepokojące instrukcje. O komentarz poprosiliśmy Google. Tekst zostanie zaktualizowany, gdy tylko otrzymamy odpowiedź.

***

Dominika Nowak: Czasem tylko dzięki szalonej odwadze, można zacząć działać [NEXT TIME]