Elsősorban a Facebook felhasználókra lehet veszélyes, ugyanis itt bukkanhat fel az a becsapós üzenet, miszerint az üzemeltetők állítólag éppen a mi biztonságunk érdekében egy védelmi alkalmazást ajánlanak fel, ehhez pedig bekérik tőlünk a telefonszámunkat és rákérdeznek, hogy okostelefonunk melyik platformon üzemel. A trükk célja persze a banki SMS-ek későbbi manipulálása, elfogása, átirányítása.
A váratlanul felbukkanó ablakban az alábbi szöveg jelenik meg: "Verification - Welcome back
Due to a rising number of attempts in order to gain unlawful access to the personal information of our users and to prevent corrupted page data to spread Facebook administration introduces new extra safety protection system. It’s free and it keeps you safe. Our IT specialists developed unique software tool for safe and secure authorization. With this software you don’t need any extra account profile or password all you need is to install it and everytime you log in you will input an access code generated by the software on your personal phone. We care for our users, protection of their private information is one of the priorities. Meanwhile application might not be available for some operating systems." Ami röviden annyit jelent, hogy látszólag a Facebook üzemeltetők ajánlanak nekünk egy ingyenes biztonsági eszközt, mert ők törődnek a mi védelmünkkel ;-). A valóságban azonban ez egy régi trükk új formában, sem maga a Facebook, sem a bankok soha nem ajánlanak így Facebookos alkalmazást.
Remélhetőleg már az üzenet suta megfogalmazása is egy fajta intő jel lehet sokaknak, hogy ne adja meg a mobilszámát. A Windows alapú kártevő a már jól ismert JavaScriptes webinject segítségével - ugye már mindenki Firefoxot vagy Chrome-ot használ NoScript-tel? ;-) - úgy manipulálja a böngészőnket, mintha valóban a Facebook weboldalán lennénk, pedig nem. Végül ha valaki mégis begépeli a mobilszámát, akkor egy olyan üzenetet kapunk, hogy töltsük le a "biztonsági" appot az Androidos telefonunkra egy külső weboldalról. Ehhez ráadásul vicces módon még meg is kér minket, hogy engedélyezzük az ismeretlen forrásból való third party alkalmazások telepítését. Ez kb. annak felel meg, mint mikor asztali PC-n a vírus arra kér, hogy az állítólagos "vakriasztás" elkerülése miatt átmenetileg kapcsoljuk ki kézzel a vírusvédelmet.
Haladó csoportosak jól tippelnek, igen, azért kell a platformot is megjelölni, mert ez egy csak Androidon futó támadás. A trójai kártevő egyébként nem csak a banki SMS üzeneteinkre jelenthet veszélyt, hanem általánosságban is kémkedhetnek így a hívásaink, szöveges üzeneteink után. Hogy ezen kívül milyen rafinált Windows-Android kártevő összeállítások lehetnek még, azt egy nem rég közölt írásunkban már körbejártuk.
Sokaknak lehet még emlékezetes a ZitMo, SpitMo, Citmo, Perkele és iBanking kártevő, amelyek korábban a banki kétfaktoros azonosítás kijátszására voltak képesek. Nyilvánvaló, hogy a bűnözők ismerve az Android széleskörű elterjedtsége és a rengeteg felhasználó biztonsági tudása közti hézagot, egyre több kártevős próbálkozást fognak készíteni. Így a jól ismert szlogenünk - copyright by én ;-) "Az Android az új vadnyugat" - jegyében mindenképpen hasznos valamilyen vírusvédelmi, biztonsági alkalmazást futtatni az ilyen eszközökön, illetve érdemes lehet néha feleleveníteni a gyanús appokkal és azok felismerésével kapcsolatos korábbi posztunkat. Az egyre több megjelenő trójai programból egyre több a pénzünket megszerezni akaró kártevő, legutóbb például a Hesperbot volt az, amelyik rosszindulatú linket küldött a felhasználóknak, és igyekezett rávenni őket egy állítólagos banki alkalmazás telepítésére. Mindenesetre most látszólag ez az első alkalom, hogy Facebook nevével és Facebook alkalmazással is összekapcsolva történik ilyen banki trójai támadás.
Összefoglalva, veterán antivirus.blog olvasók már biztosan nem esnek ilyen csapdába, és nem mellesleg jogosan gyanakodnának is, ha állítólagos hivatalos banki app jelenik meg, ám az kéretlen üzenetben érkezik hozzánk. Jogosan szólhat ilyenkor a vészcsengő a fejekben, mert egy ilyen programnak sokkal inkább a hivatalos Google Play áruház polcairól kellene integetnie nekünk, és néha még az sem biztosíték semmire. Az ESET Mobile Security for Android a trójai kártevőt "Android/Spy.Agent.AF" néven detektálja, és blokkolja. Jegyezzük meg jól, soha ne telepítsünk banki alkalmazást kéretlenül kapott üzenet linkjéről. Az pedig szinte biztos, hogy nem utoljára találkozhattunk ilyesmivel, annál is inkább, hiszen ahogy azt az RSA blogjában olvasni lehetett, sajnálatos módon kiszivárgott az iBanking Mobile Bot forráskódja, így már csak emiatt is gyakoribb lehetnek majd a hasonló támadások.