Programišiai laiko veltui neleido: kenkėjas per metus buvo gerokai patobulintas ir nustatymo metu pasižymėjo stipresniu kodo imitavimu, sudėtingu kitų kenkėjų atsisiuntimo funkcionalumu ir užkrato mechanizmu, kuris išnaudoja „Android Accessibility Service“.
Pastaruoju funkcionalumu piktnaudžiauja ne vienas trojanas, tačiau dažniau už „Google Play“ ribų. Neseniai atlikti „SfyLabs“ ir „Zscaler“ tyrimai patvirtino, kad „BankBot“ platinantys programišiai jau anksčiau buvo įkėlę užkrėstą programėlę į oficialią „Google“ programėlių parduotuvę, tačiau tuo metu ji dar neturėjo galimybės atsiųsti į telefoną bankininkystės trojaną.
Pasak ESET, į vartotojų bankininkystę šįkart bandyta pasikėsinti su fiktyviu žaidimu „Jewels Star Classic“ (originalus žaidimas vadinasi „Jewels Star“), kurį atsisiuntė iki 5 000 vartotojų, kol kenksminga programėlė buvo pašalinta iš „Google Play“.
„Oficialiose programėlių parduotuvėse pasitaikančios fiktyvios programos ar žaidimai, kuriuos atsisiunčia tūkstančiai vartotojų, dar kartą parodo, kaip yra svarbu tikrinti, ką siuntiesi į savo telefoną: kas yra programėlės kūrėjas, kaip ją vertina kiti vartotojai, ar nėra neigiamų atsiliepimų ir kitų požymių, išduodančių programėlės fiktyvumą ar kenksmingas užmačias“, – komentuoja ESET saugumo sprendimus platinančios įmonės „Baltimax“ pardavimų vadovas Deividas Pelenis.
Vartotojams atsisiuntus netikrą žaidimą, kuris, beje, puikiai veikė, šis vėliau rodydavo pranešimus su raginimais įjungti „Google Service“ paslaugą. Paspaudus OK atsidarydavo „Android Accessibility“ meniu, kuriame tarp legalių paslaugų būdavo įterpta naujas „Google Service“ įrašas, sukurtas paties kenkėjo.
Tarp programėlės reikalaujamų leidimų buvo vartotojo veiksmų stebėjimas, lango turinio atkūrimas, prašymas įjungti tyrinėjimą lietimu (Explore by Touch) ir interneto prieinamumą, taip pat leidimas atlikti judesius.
Patvirtinus visus šiuos leidimus vartotojas praktiškai perduodavo savo įrenginio valdymą kenksmingai programai, kuri galėjo diegti kitas programėles iš nežinomų šaltinių, įdiegti bankininkystės trojaną „BankBot“, suteikti šiam kenkėjui įrenginio administratoriaus teises, nustatyti „BankBot“ kaip numatytąja SMS žinučių programėlę ir gauti leidimus kitoms programėlėms.
Tokiu būdu bankininkystės trojanas galėjo vogti vartotojų mokėjimo duomenis: kas kartą vartotojui atidarius programėlę „Google Play“, „BankBot“ atidarydavo fiktyvų langą, kuriame prašydavo suvesti kreditinės kortelės duomenis. Kadangi kenkėjas jau būdavo perėmęs SMS žinučių valdymą, jis lengvai apeidavo kai kurių vartotojų naudojamą dviejų faktorių autentifikavimą jungiantis prie savo bankininkystės.
Norintiems apsisaugoti nuo „BankBot“ rekomenduojama atidžiau rinktis diegiamas programėles net ir oficialioje „Google Play“ parduotuvėje, taip pat naudoti mobiliesiems įrenginiams skirtus apsaugos sprendimus.
„Verta atkreipti dėmesį, kokių leidimų programėlė prašo, kaip ji veikia po įdiegimo. Šiuo atveju „BankBot“ buvo sunku identifikuoti, nes papildomų leidimų jis paprašydavo praėjus 20 minučių po fiktyvaus žaidimo atidarymo, tad vartotojai tolimesnių veiksmų nesiejo su pačiu „Jewels Star Classic“, – komentuoja D. Pelenis.
Norintiems pasitikrinti, ar netapo „BankBot“ aukomis, nes programišiai galėjo išnaudoti ne tik fiktyvų žaidimą, bet ir kitas programėles, reikėtų telefono nustatymuose patikrinti, ar nėra telefone programėlės „Google Update“ (Settings > Application manager/Apps > Google Update). Taip pat, ar įrenginio administratoriumi nėra paskirtas „System update“ (patikrinti galima čia: Settings > Security > Device administrators).