Tvůrci mobilního malware se již potřetí v relativně krátké době zaměřili na klienty bank v Česku. Skrze infikovanou aplikaci Word Translator, která byla dostupná v oficiálním obchodě Google Play, se pokoušeli z mobilního zařízení s operačním systémem Android odcizit přihlašovací údaje pro vzdálený přístup do bankovního účtu.
Aplikace, která měla před svým zablokováním více než 10 000 stažení, si všimli bezpečnostní analytici společnosti ESET. Polovina všech detekcí byla zaznamenána na zařízeních uživatelů v České republice, 40 % v Polsku a méně než 5 % v Itálii, Mexiku a Austrálii. Společnost hrozbu detekuje při instalaci aplikace jako Trojan.Android/Spy.Banker.AKT. Z pohledu škodlivého kódu, který útočníci použili, se jedná o prakticky stejnou hrozbu, jakou byla aplikace QRecorder z loňského září nebo Blockers call 2019 z ledna tohoto roku. Podle Esetu se tak naplňují předpoklady, že prvně detekovaný QRecorder byl pilotní kampaní útočníků a nyní v drobných obměnách opakují totožný model.
„Na základě naší interní analýzy můžeme říci, že původně legitimní aplikace byla v průběhu času opět tzv. ztrojanizována. To znamená, že se po některé z jejich aktualizací stal z aplikace World Translator tzv. trojský kůň,“ říká Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.
Hrozba funguje tak, že malware v telefonu čeká na zašifrovaný příkaz z C&C serveru útočníka, na základě kterého vykoná požadovanou aktivitu. V první fázi škodlivý kód zjišťuje, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné a nemusí se jednat pouze o bankovní aplikace. Následně je do telefonu stažen modul, který vytvoří neviditelnou vrstvu nad cílovou aplikací, například internetovým bankovnictvím, a snímá přihlašovací údaje uživatele.
Útočníci dále mají přístup do SMS zpráv, které jsou nejčastějším druhým ověřovacím faktorem při převodech peněz.
