Útočníci skrze ni získali vzdálený přístup do bankovní aplikace na napadeném zařízení. Nástroj QRecorder určený pro mobilní zařízení na platformě Android může mít jen v České republice na desítky tisíc uživatelů.
Na základě naší interní analýzy můžeme říci, že původně legitimní aplikace byla tzv. ztrojanizovaná.
To znamená, že po jedné z posledních aktualizací se z QRecorderu stal tzv. trojský kůň. Ten umožňuje útočníkům stáhnout do chytrého telefonu s operačním systémem Android nebezpečný obsah, což se také stalo.
Analýza tohoto škodlivého kódu stále pokračuje
Prozatím jsme zjistili, že malware v telefonu čeká na zašifrovaný příkaz z tzv. C&C serveru útočníka, na základě kterého vykoná požadovanou aktivitu.
- V první fázi škodlivý kód zjišťuje, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné.
- Následně je do telefonu stažen modul, který vytvoří neviditelnou vrstvu nad cílovou aplikací, například internetovým bankovnictvím, a snímá přihlašovací údaje uživatele.
Útočníci dále mají přístup do sms zpráv, které jsou nejčastějším druhým ověřovacím faktorem při převodech peněz. Kyberzločincům tedy nic nebrání, aby si vzdáleně posílali peníze z účtu napadeného uživatele na cizí bankovní účty bez jeho vědomí.
Aplikace již byla z Google Play odstraněna.
— ESET Česká republika (@esetcz) September 25, 2018
Poměrně unikátní je to, že útočníci pomocí tohoto malware cílí primárně na uživatele z České republiky, Polska a německy mluvících zemí. Respektive cílí na každého, kdo má přednastavenou českou, polskou či německou jazykovou lokalizaci operačního systému Android.
Způsob, jak se uživatel může bránit, není v tomto případě jednoznačný
Aplikace byla stažena z legitimního zdroje Google Play a dříve nepředstavovala žádné riziko.
Kromě instalace bezpečnostního softwaru proto představuje jedinou cestu důsledná kontrola požadovaných oprávnění aplikace s ohledem na její primární a legitimní účel.