Zagrożenia dla bankowości mobilnej rosną: phishing i trojany atakują aplikacje finansowe

Wprowadzenie do problemu / definicja

Aplikacje bankowości mobilnej stały się jednym z najważniejszych celów cyberprzestępców. Wynika to z połączenia wysokiej wartości finansowej, powszechności telefonów oraz przyzwyczajenia użytkowników do szybkiego wykonywania operacji z poziomu telefonu. W efekcie rośnie skala kampanii phishingowych i mobilnego malware, które podszywają się pod legalne aplikacje instytucji finansowych.

Dzisiejsze zagrożenia nie ograniczają się już do prostych trojanów bankowych. Coraz częściej mamy do czynienia z wieloetapowymi operacjami, które łączą fałszywe strony internetowe, socjotechnikę, wymuszanie nadmiernych uprawnień oraz zdalne przejęcie urządzenia ofiary.

W skrócie

• Badacze opisali skoordynowane kampanie mobilnego malware wymierzone w marki finansowe.
• Ataki wykorzystują phishing do dystrybucji fałszywych aplikacji spoza oficjalnych sklepów.
• W kampaniach pojawiają się rodziny malware takie jak Gigabud i SpyNote.
• Celem są banki, fintechy oraz platformy kryptowalutowe.
• Połączenie phishingu, sideloadingu i zdalnej kontroli urządzenia zwiększa skuteczność oszustw finansowych.

Kontekst / historia

Mobilne trojany bankowe są obecne w krajobrazie zagrożeń od wielu lat, jednak ich obecna forma jest znacznie bardziej dojrzała niż wcześniejsze kampanie oparte głównie na prostych nakładkach ekranowych. Współczesne operacje pokazują, iż grupy cyberprzestępcze konsekwentnie koncentrują się na aplikacjach, które umożliwiają szybkie przejęcie środków lub danych uwierzytelniających.

Według przywoływanych analiz branżowych dziesiątki rodzin malware atakowały tysiące aplikacji bankowych w dziesiątkach krajów, a tradycyjne aplikacje bankowe pozostają najczęściej wybieranym celem. Nowsze kampanie potwierdzają dalszą specjalizację napastników, którzy rozszerzają działania o konkretne marki finansowe, w tym banki oraz platformy związane z aktywami cyfrowymi.

Analiza techniczna

Mechanizm ataku jest zwykle wielowarstwowy. Pierwszym etapem jest infrastruktura phishingowa, czyli fałszywe witryny lub strony podszywające się pod legalne usługi finansowe. Ich celem jest przekonanie użytkownika do pobrania aplikacji z nieoficjalnego źródła, co pozwala ominąć część zabezpieczeń związanych z dystrybucją przez oficjalne sklepy.

Drugą warstwę stanowi samo złośliwe oprogramowanie. W opisywanych kampaniach malware może wykradać dane logowania, przechwytywać wiadomości, odczytywać powiadomienia oraz zbierać informacje o urządzeniu. Szczególnie groźne są aplikacje żądające dostępu do wiadomości SMS, usług ułatwień dostępu, powiadomień lub funkcji nakładek ekranowych. Taki zestaw uprawnień umożliwia przechwycenie kodów jednorazowych, manipulowanie interfejsem oraz wykonywanie działań w imieniu użytkownika.

Trzeci poziom to działanie po infekcji. Narzędzia takie jak SpyNote mogą zapewniać operatorom zdalny dostęp do urządzenia, co otwiera drogę do monitorowania aktywności ofiary, dalszej kradzieży danych i eskalacji nadużyć. Z kolei malware z rodziny Gigabud jest kojarzone z przejmowaniem poświadczeń do aplikacji finansowych. Połączenie tych technik w ramach jednej kampanii wskazuje na dojrzały model działania, w którym phishing, trojan bankowy i zdalna administracja urządzeniem stanowią elementy jednego łańcucha ataku.

Istotne jest również to, iż wiele takich kampanii przez cały czas bazuje na nakłonieniu użytkownika do świadomego obejścia ostrzeżeń systemowych. Oznacza to, iż socjotechnika pozostaje równie ważna jak sam kod malware.

Konsekwencje / ryzyko

Najbardziej oczywistym skutkiem ataku jest kradzież danych logowania do bankowości mobilnej i wyłudzenie środków. Jednak skala ryzyka jest znacznie szersza. jeżeli malware uzyska dostęp do SMS-ów, powiadomień i funkcji dostępności, może przechwytywać kody MFA, zatwierdzać operacje oraz ukrywać oznaki oszustwa przed użytkownikiem.

W przypadku złośliwego systemu oferującego zdalny dostęp zagrożone są nie tylko finanse, ale również dane osobowe, historia komunikacji, zdjęcia, lokalizacja oraz informacje firmowe zapisane na urządzeniu. Dla instytucji finansowych oznacza to wzrost strat fraudowych, większą presję na zespoły bezpieczeństwa i ryzyko reputacyjne, ponieważ klienci często obwiniają markę finansową niezależnie od rzeczywistego wektora ataku.

Rekomendacje

Instytucje finansowe powinny traktować bezpieczeństwo mobilne jako odrębny filar ochrony. W praktyce oznacza to wdrażanie mechanizmów ochrony runtime, detekcji root i jailbreak, wykrywania overlay, kontroli integralności aplikacji, pinningu certyfikatów oraz zabezpieczeń anty-tampering i anti-repackaging.

Duże znaczenie ma także korelacja sygnałów z aplikacji mobilnej z systemami antyfraudowymi. Nietypowe urządzenie, świeża instalacja, podejrzane uprawnienia, brak integralności środowiska czy niestandardowe zachowanie użytkownika powinny wpływać na ocenę ryzyka transakcji. Wysokie ryzyko powinno skutkować dodatkowymi kontrolami, takimi jak dodatkowe uwierzytelnienie, opóźnienie realizacji operacji lub manualna weryfikacja.

Użytkownicy końcowi powinni instalować aplikacje wyłącznie z oficjalnych sklepów, unikać pobierania plików APK z linków przesyłanych przez SMS-y, komunikatory lub reklamy, a także ostrożnie podchodzić do próśb o nadanie dostępu do SMS, powiadomień i usług ułatwień dostępu. Warto również regularnie aktualizować system, ograniczać liczbę aplikacji na urządzeniu wykorzystywanym do bankowości i usuwać programy żądające nielogicznych uprawnień.

Podsumowanie

Zagrożenia dla bankowości mobilnej wyraźnie ewoluują w kierunku większej specjalizacji i lepszej koordynacji. Atakujący łączą phishing mobilny, dystrybucję aplikacji spoza oficjalnych kanałów, trojany bankowe oraz zdalne przejęcie urządzeń, aby skuteczniej omijać klasyczne zabezpieczenia.

Dla sektora finansowego oznacza to konieczność budowy wielowarstwowej ochrony obejmującej aplikację, urządzenie, kanał dystrybucji oraz analizę ryzyka transakcyjnego. Dla użytkowników kluczową linią obrony pozostaje ostrożność wobec nieoficjalnych instalatorów, nadmiernych uprawnień i każdej komunikacji wywołującej presję czasu lub strach o utratę dostępu do konta.

Źródła

1. Infosecurity Magazine, https://www.infosecurity-magazine.com/news/financial-brands-mobile-banking/
2. Zimperium Identifies Coordinated Mobile Malware Campaign Targeting Banking Apps Worldwide, https://zimperium.com/resources/zimperium-identifies-coordinated-mobile-malware-campaign-targeting-banking-apps-worldwide
3. Overlap Between Golddigger & Gigabud Android Malware, https://cyble.com/blog/unmasking-the-overlap-between-golddigger-and-gigabud-android-malware/
4. Zimperium’s 2023 Mobile Banking Heists Report Finds 29 Malware Families Targeted 1,800 Banking Apps Across 61 Countries in the Last Year, https://zimperium.com/resources/zimperiums-2023-mobile-banking-heists-report-finds-29-malware-families-targeted-1800-banking-apps-across-61-countries-in-the-last-year
5. Developer Guidance for Google Play Protect Warnings, https://developers.google.com/android/play-protect/warning-dev-guidance