9:20
21/2/2018

Jak przestępcy ukradli 10 000 PLN miłośnikowi kryptowalut. Ciekawy atak na klientów posiadających mobilne aplikacje polskich banków

Autor: redakcja | Tagi:  

Kilka dni temu napisał do nas czytelnik Radek, który sprzedaje koparki (te do wydobywania kryptowalut). Radek był świadkiem ciekawego ataku na jednego ze swoich klientów i uważa go za całkiem niezły atak, więc chciałby, abyście też się o nim dowiedzieli. Oddajmy więc głos Radkowi

Dziś byli u mnie klienci (2 osoby) po koparkę. Kiedy przyszło do płacenia i wyciągnęli 20k w gotówce, powiedziałem że muszę przyjąć płatność przelewem, bo to kwota powyżej 15k. Pojechaliśmy więc do Tesco do wpłatomatu, gdzie klient wpłacił 2x10k. DowIiedzieliśmy się przy okazji, że będziemy musieli około godzinę poczekać, aż kasa pojawi się na koncie. Więc poszliśmy razem do restauracji na pizzę.

Klient udostępnił sobie internet z komórki na laptopa i zaczął zaglądać na konto co chwilę. Pierwsze 10k przyszł ood razu, drugiego jakoś nie spływało. Odwieżał więc i odświeżał stronę banku, aż w pewnym momencie po odswieżeniu zauważył przelew wychodzący na 10k do PKO przez sorbnet (tzw. szybki przelew).

Wszyscy zdziwieni o chodzi, bo żadnym SMS-em tego przelewu nie potwierdzał. Patrzę na odbiorcę i widzę “Bitpay”. Światełko mi się zaświeciło, że ktoś chce mu wyprowadzić kasę na bitcoina i ślad po tym zaginie.

Wziąłem laptopa i lecę z nim do mBanku bo był niedaleko. Zadyszany bez kurtki z laptopem otwartym zaczynamy gadać na recepcji, że ktoś nam podpierdolił kasę z konta, że poszła szybkim przelewem i trzeba działać.

Na szczęście usłyszał to koleś z pokoju obok i szybko nas zawołał bez kolejki do siebie. Powiedział ze przelew jest już nie do uratowania bo wyszedł z mBanku, ale na szczęście kasa dalej była w Polsce, bo poszła do PKO. Więc zadzwonił do działu który się takimi rzeczami zajmuje żeby się skontaktowali z PKO i żeby zamrozili ta kasę. Dopiero po tym zaczął załatwiac formalności (dowód sprawdził na samym początku), czyli uzupełnił dokumentacje tej sprawy, wypisał reklamacje. Tu akurat duży plus, że zaczął ratować sytuacje, a nie zasłaniał się procedurami, wszelkimi weryfikacjami i innymi bzdetami.

Ja w międzyczasie zacząłem grzebać w komórce klienta. Okazało się, że ma ją od 2 dni (kupiona w salonie, nowa, nierozpakowana wcześniej). Poinstalował jakieś aplikacje związane z kryptowalutami z Google Play m.in. tą:

hxxps://play.google[.]com/store/apps/details?id=inn.crypto.monitor&hl=pl

która okazała się trojanem. Ten trojan wyciągnął dane z aplikacji mBanku, wysłał sobie przelew, odczytał potwierdzającego SMS i usunął SMS-a (sms w ogóle nie doszedł, więc go jakoś przechwycił i komórka nie zasygnalizowała ze SMS przyszedł). To że SMS niby został wysłany dowiedzieliśmy się dopiero w mBanku po którymś telefonie do ich pracownika z odpowiedniego działu.

Tak zniknęło 10k, a drugie 10k zdołaliśmy uratować blokując wszystkie kanały do mBanku i usuwając przypisanie tego numeru telefonu do konta. Przez te dwa dni od instalacji aplikacji do wpłaty kasy klient na koncie miał 500-800zł i złodziejaszki czekali na większą wpłatę nie kradnąc tego co miał do tej pory.

Tu dodajmy, że Radek nie potwierdził w żaden sposób, że dokładnie tak doszło do nieautoryzowanego dostępu do konta. Tak mu się po prostu intuicyjnie wydawało. Czy tak było na prawdę, o tym za chwilę. Dorzućmy jeszcze jedną uwagę, jaką przesłał Radek:

Po całej sytuacji klienci zaczęli wracać do Wrocławia, na tej samej komórce ustawili sobie nawigację i na trasie komórka zaczęła się sama resetować, zaczęło samo przywracać ustawienia fabryczne, zapewne żeby zatrzeć wszelkie ślady.

Obstawiam, że koleś miał dostęp do wszystkiego na komórce, łącznie do kamerki, mikrofonu i mógł nas słyszeć jak świrujemy po drodze i w mBanku :D Z mBanku półsłówkami powiedzieli, że dzięki temu, że szybko zareagowaliśmy to “może coś się uda”, nic nie mówili wprost zasłaniając się tajemnicą bankową.

Czy złośliwa aplikacja na Androidzie może okraść czyjeś konto?

Tak. Tak, tak, tak! Powtarzamy to od lat, zwracając uwagę (czy się to któremuś fanbojowi podoba, czy nie), że Android jest statystycznie mniej bezpiecznym systemem operacyjnym niż iOS. Bo po pierwsze później otrzymuje aktualizacje oprogramowania i łatki na dziury a czasami wcale (ale to nie był wektor ataku w tym przypadku), a po drugie — i w tym wypadku najważniejsze — w oficjalnym sklepie Google jest masa złośliwych i zainfekowanych aplikacji, czasem tak podobnych do prawdziwych, że ludzie się mylą i sami ściągają i instalują sobie trojany na swoim smartfonie. Smartfonie, do którego mają podpięte konto bankowe, pocztę i na którym przechowują wrażliwe dane (zdjęcia, pliki). To znana ilustracja tego problemu — która z aplikacji WhatsApp jest prawdziwa?

Google oczywiście walczy, na tyle na ile może i często usuwa złośliwe aplikacje ze swojego oficjalnego sklepu. Ale ta walka jest zawsze przegrana. Co chwilę pojawiają się nowe, złośliwe aplikacje. Takie jak ta, która zainfekowała klienta naszego czytelnika:

To, że aplikacja jest złośliwa wykazała pobieżna analiza wykonana przez Mateusza, naszego trenera szkolenia “Bezpieczeństwo Aplikacji Mobilnych“. Mateusz potwierdził, że aplikacja czai się na klientów następujących aplikacji finansowych:

eu.eleader.mobilebanking.raiffeisen
com.comarch.mobile
com.getingroup.mobilebanking
pl.bph
eu.eleader.mobilebanking.pekao.firm
com.konylabs.cbplpat (citi)
pl.ing.mojeing
pl.bzwbk.bzwbk24
pl.fmbank.smart
pl.mbank
wit.android.bcpBankingApp.millenniumPL
pl.pkobp.iko
piuk.blockchain.android (Blockchain – Bitcoin & Ether Wallet)

Lista obecna jest w postaci zaszyfrowanej w klasie ‘NotificationExtenderBareBonesExample‘ w polu ‘rr‘ i wygląda tak (wszystkie stringi są w base64)

{ "UItTj5P0xyWXiLfkixmwA84bAZQQG3XA7QL0QEHusT5xdtvV8JnSsnQE+i2JOObP", "T9HJTOnUj64li2DZhQ+a2y7KqJqYi7pEzFyQ3jqNoI4=", "HGEolr0W7Bz2pNcw0EhkBcoVTsat8rUYkEqw3uJozKg=", "spnfCyO8ie3afNUUwg45Pg==", "UItTj5P0xyWXiLfkixmwAyGrKs7Zu6lm51vWSsH1G5kV9jrGo6+huRoU9gNet9Vl", "VOC6l22z4J8Hmg4WrPqmox3Od6czzB7VNkJe+isQr0E=", "ZSSgcrimekVRbzMzFUqjPQ==", "enJgCXocYtve1bgUeKYT+Qzxu/zAK3ZnvmJkGVTNVP4=", "wQz28nRgc1lpy6qoL/XDAw==", "Ta9rwAX55lwtjqD/AswDgw==", "SaC5eVYlZFzrftUhGIr3NyXyc/1m++f8/SE2fSkGWwZvbzNNOztFKTbG4GA7JSgp", "eIK1QK7LVKdFwjNL7N3POA==", "muwPJ3TIPoIDQ7xaR1P9YgRwXX+4WXJHC5uG24rN1rM=", "UItTj5P0xyWXiLfkixmwA2A4eE6ktehlYeI+lGSkgao=" };<code>

Klucz i wektor inicjalizacyjny można odnaleźć wewnątrz metody 'get' w tej samej klasie.

Algorytm: AES/CBC/PKCS5PADDING
Klucz (w base64): kEZWOj/ayrkwfuUrJah7V799YGyVCY91
Wektor inicjalizacyjny: 32fsmvw4fwbfrtgh

Główna logika odbywa się w poniższej funkcji:

Kod źródłowy jest wynikiem decompilacji, wiec jest przybliżony, ale daje mniej więcej obraz logiki. Ta funkcja jest wywoływana kiedy do aplikacji dotrze konkretna notyfikacja (jej tytuł musi być równy "44"), której aplikacja nasłuchuje poprzez One Signal SDK. W zależności od parametrów wywoływane są różne akcje, ale generalnie całość sprowadza się sprawdzenia jakie pakiety z powyższej listy są na urządzeniu, (opcjonalnie) pobraniu odpowiedniego APK (parametr 'ht' zawiera część URLa) i uruchomienia go.

Aplikacja prosi o następujące uprawnienia:

android.permission.INTERNET
android.permission.READ_EXTERNAL_STORAGED
android.permission.WRITE_EXTERNAL_STORAGE
inn.crypto.monitor.permission.C2D_MESSAGE
com.google.android.c2dm.permission.RECEIVE
android.permission.WAKE_LOCK
android.permission.VIBRATE
android.permission.ACCESS_NETWORK_STATE
android.permission.RECEIVE_BOOT_COMPLETED
com.sec.android.provider.badge.permission.READ
com.sec.android.provider.badge.permission.WRITE
com.htc.launcher.permission.READ_SETTINGS
com.htc.launcher.permission.UPDATE_SHORTCUT
com.sonyericsson.home.permission.BROADCAST_BADGE
com.sonymobile.home.permission.PROVIDER_INSERT_BADGE
com.anddoes.launcher.permission.UPDATE_COUNT
com.majeur.launcher.permission.UPDATE_BADGE
com.huawei.android.launcher.permission.CHANGE_BADGE
com.huawei.android.launcher.permission.READ_SETTINGS
com.huawei.android.launcher.permission.WRITE_SETTINGS
android.permission.READ_APP_BADGE
com.oppo.launcher.permission.READ_SETTINGS
com.oppo.launcher.permission.WRITE_SETTINGS
me.everything.badger.permission.BADGE_COUNT_READ
me.everything.badger.permission.BADGE_COUNT_WRITE
android.permission.BIND_JOB_SERVICE

Szczegółowa analiza aplikacji trwa i niebawem ją opublikujemy. Wszystko jednak wskazuje na to, że mamy do czynienia z nowym wariantem czegoś, co w końcówce 2017 roku opisał zespół RiskIQ (Bankbot) i ESET-u. Wariant opisany przez ESET po wykryciu aplikacji banku X wyświetlał fałszywe powiadomienia, rzekomo od banku X i podstawiał własną, fałszywą stronę logowania do tego banku:

Po zalogowaniu przestępca uzyskuje dane dostępowe do konta, a potem (tak przynajmniej było we wcześniejszych próbkach) generuje zlecenie przelewu i przez złośliwą aplikację przechwytuje kody SMS. W przypadku próbki, która zainfekowała klienta Radka, uprawnień do czytania SMS-ów brak -- więc zapewne dopiero po stwierdzeniu przez aplikację obecności aplikacji mobilnej do któregoś z banków dociągany jest dodatkowy APK z tymi uprawnieniami.

Chciałbyś dowiedzieć się jak bezpiecznie tworzyć aplikacje mobilne i jak je atakować/testować pod kątem bezpieczeństwa, przy okazji rozkładając na czynniki pierwsze?Dokładnie temu poświecone jest nasze 2-dniowe, pełne praktycznych labów szkolenie pt. Bezpieczeństwo Aplikacji Mobilnych. Jego najbliższe terminy odbędą się 15-16 marca w Warszawie i 5-6 kwietnia we Wrocławiu. Zapraszamy do zapoznania się pełną agendą i do udziału!

IOC

MD5: bc098174e2dafd1466cc74c52f6dbd02
SHA1: 92ca6f2c933876e3c811e65e35bbb7a255b328a7

Mam aplikację mobilną banku na telefonie -- co robić, jak żyć?

Jeśli używasz iOS, gratulujemy wyboru -- tu dla Ciebie artykuł się kończy -- niczego nie musisz robić :)

Jeśli korzystasz z Androida... (i nie chcesz zmienić telefonu na iPhona ;) to kieruj się poniższymi zasadami:

  • Jeśli na telefonie korzystasz z bankowości internetowej lub swojej skrzynki pocztowej, to nie eksperymentuj i nie pobieraj aplikacji, które zostały stworzone przez nieznanych developerów. Takie aplikacje na kilka różnych sposobów mogą podkraść dane z innych twoich, istotniejszych aplikacji
  • Pamiętaj, że nawet aplikacje na oficjalnym sklepie Google Play mogą być złośliwe.
  • Podczas instalacji aplikacji, zawsze weryfikuj, czy uprawnienia o które prosi aplikacja są zasadne. Po co aplikacji do monitoringu kursów walut uprawnienie do czytania SMS-ów?

Ten atak jest świetnym przykładem, dlaczego nie powinno się trzymać obu składników uwierzytelnienia w jednym miejscu (tu, na telefonie komórkowym jest i hasło i kod z SMS-a). Dlatego też

do bankowości najlepiej używać osobnego urządzenia.

To jest uciążliwe, ale jeśli ktoś "się nie zna" a ma dużo na koncie, to takie dedykowane urządzenie jest niewielkim kosztem w porównaniu do kradzieży oszczędności życia. Taką właśnie radę dajemy na naszych wykładach pt. "Jak nie dać się zhackować?", które są kierowane do każdego, kto na korzysta z komputera lub smartfona i internetu, robi zakupy w sieci i korzysta z bankowości internetowej. Rad jest więcej -- przekonaj się sam! W najbliższych tygodniach ten wykład będziemy wygłaszali w Bydgoszczy (6 marca), Wrocławiu (26 marca) i Gdańsku (23 maja). Na wszystkie z nich można już kupować wejściówki.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

147 komentarzy

Dodaj komentarz
  1. K 2018.02.21 09:46 | # | Reply

    Ooooh, to przez takich ludzi jak pan Radek miałem ostatnio przykrą niespodziankę jak zdechła mi grafika i musiałem spojrzeć na ceny.

    • małyździsio67 2018.02.21 13:36 | # |

      Tak działa wolny rynek. Ludzie kupują za takie pieniądze, to takie ceny są.

    • Luke 2018.02.21 18:09 | # |

      Zawsze możesz samemu kopać kiedy nie używasz sprzętu :) zwróci Ci się częściowo przepłacona karta.

    • Piotr 2018.02.21 20:31 | # |

      A gdy kiedyś 64 MB RAMu kosztowało 800 zł, to też był temu winny Pan “Radek”?

    • K 2018.02.21 20:46 | # |

      Najpierw musiałbym móc sobie na takie przepłacenie pozwolić, póki co mogę sobie yt ze służbowego lapka przeglądać. :P

    • Pijacka 2018.02.22 06:56 | # |

      A winnymi cen nie są sklepy które podnoszą co chwilę ceny? xD

    • K 2018.02.22 15:30 | # |

      Sklepy reagują na sytuację w której popyt jest większy niż podaż. Dzięki temu że kart jest mało dostępnych można je wykupywać i wystawiać z grubą przebitką na ebayu np.

  2. DymeqWho 2018.02.21 10:00 | # | Reply

    A na ile w takim wypadku jest skuteczny np. Kaspersky na androida? Są jakieś dobre antywirusy czy inne programy chroniące przed tego typu zagrywkami?

    • markac 2018.02.21 13:45 | # |

      Dobry antywirus nie pozwoli Ci na zainstalowanie niepewnej aplikacji, ewentualnie Ciebie ostrzeże, że jest niebezpieczna.
      Telefon był kupiony podobno nowy, więc to użytkownik sam sobie ją zainstalował.

    • gosc 2018.02.21 14:37 | # |

      Nie dostaniesz 100% skutecznego antywirusa
      Ciągle się zmieniają wirusy, trojany i mogą być zaszyfrowane.
      Najpierw pomyśl o własnej polityce bezpieczeństwa
      – zauffane aplikacje
      – aktualne
      – przetestowane, jeśli to możliwe
      – bądź świadom zagrożenia oraz jakie aplikacje mają uprawnienia, na które sam się zgadzasz przy instalacji
      – jak wspomniano “nie przechowuj wszystkich zabezpieczeń na 1 urzadzeniu”

    • Prim 2018.02.21 14:59 | # |

      “Kaspersky” != “antywirusy czy inne programy chroniące”

  3. zakius 2018.02.21 10:00 | # | Reply

    każdy nowoczesny system jest tak bezpieczny jak świadomy jest jego użytkownik
    luki lukami, ale system po prostu nie może zabraniać pewnych działań odgórnie, a skoro użytkownik korzystając z systemowego systemu uprawnień pozwolił apce je wykonywać, to przecież zrobił to w pełni świadomie i system już się nie wtrąca, prawda?

    • Szymon 2018.02.23 07:32 | # |

      No popatrz. A ios zabrania wielu rzeczy odgórnie. Jakoś się da.

  4. Damian 2018.02.21 10:07 | # | Reply

    Ciekawy jestem czy dużo bezpieczniejsze jest trzymanie aplikacji w bezpiecznym folderze?

    Mam Note 8 i wszystkie aplikacje śmieciowe, gry, uzywane na codzien itd mam normalnie zainstalowane, a aplikacje bankowe (mbank, citi) i google authenticator mam w ‘bezpiecznym folderze’ (stara nazwa Knox, MyKnox). Teoretycznie wszystko jest odseparowane. Dostep do folderu zabezpieczony mam soczewką/odciskiem palca, z reszta tak samo jak dostęp do aplikacji bankowych.

    Tam nawet system plikow jest oddzielny więc mam nadzieje ze to znacznie podnosi bezpieczeństwo :)

    • rob 2018.02.21 12:07 | # |

      a czy to czasem nie jest tak że ten odseparowany folder ma chronić aby nic z niego się nie wydostało? zatem te normalnie instalowane aplikacje mają do niego dostęp..
      dla bezpieczeństwa nie powinno być odwrotnie?

    • stefan 2018.02.21 13:00 | # |

      Knox to szpieg

    • Wojtek 2018.02.21 13:27 | # |

      @stefan ma pan dowód?

    • Widz 2018.02.21 13:29 | # |

      Tutaj dodatkowe zabezpieczenie aplikacji banku nic nie pomoże, gdyż to nie ona została zaatakowana. Jak instalujemy program, który może odbierać SMSy oraz wyświetlać okna na innych aplikacjach, a do tego nie dziwi nas, że “aplikacja bankowa” drugi raz prosi nas o uwierzytelnienie hasłem i identyfikatorem klienta, to już po ptakach.

    • stukot 2018.02.21 17:58 | # |

      @wojtek

      Obczaj te wpisy https://niebezpiecznik.pl/tag/knox/

  5. Piotr 2018.02.21 10:10 | # | Reply

    Hmm ciekawi mnie wektor ataku na aplikację mobilną banku w przypadku potwierdzenia transkacji odciskiem palca a nie kodem SMS, czy jest w ogóle możliwe wykonanie takiego przelewu?

  6. Albert 2018.02.21 10:12 | # | Reply

    Jeśli używasz iOS, gratulujemy wyboru — tu dla Ciebie artykuł się kończy — niczego nie musisz robić :)

    I jasne :-D

    • zakius 2018.02.21 10:46 | # |

      głównie dlatego, że i tak niczego nie możesz zrobić

    • wibo 2018.02.21 15:05 | # |

      @zakius
      No tak bo każdy użytkownik musi codziennie rootować telefon i grzebać w kernelu. O ile śmieszą mnie wojenki Android vs IOS, tak nie od dziś wiadomo, że Google Play to jedno wielkie wysypisko trojanów, a dostarczanie nowego to żaden problem nawet dla script-kiddies. No i do tego dochodzi to przechwytywanie SMSów. Swoją droga bawiłem się tym API z 3 lata temu i zastanawiałem się jakim cudem niezautoryzowana przez Google aplikacja może mieć tak łatwy dostęp do newralgicznych od storny bezpieczeństwa 2FA części.

    • zakius 2018.02.21 16:47 | # |

      @wibo a jak inaczej sobie wyobrażasz możliwość instalacji alternatywnej aplikacji do obsługi sms?
      po to masz uprawnienia by je nadawać odpowiedzialnie, jak pozwalasz latarce czytać i usuwać smsy to bardzo mi przykro, ale równie dobrze mógłbyś zostawić swoją kartę na ulicy razem z pinem, a drzwi do domu otwarte na oścież

    • Piotr 2018.07.16 18:51 | # |

      Nie rozumiem polityki. Google.
      Czy nie można (nawet odpłatnie) certyfikować wybranych aplikacji jako bezpieczne ?
      Instaluje apke z certyfikatem znaczy, że google ją przebadał i skasował za to kasę i pochodzi ona od bezpiecznego producenta.
      Zainstaluje apke bez ceryfikatu no to moje ryzyko i koszty.

  7. Jakub 2018.02.21 10:25 | # | Reply

    “że ktoś nam podpierdolił kasę z konta,”

    Przeszło bez cenzury? :D

    • Monter 2018.02.21 19:20 | # |

      Prawo dziennikarskiego cytatu ;o)

      Mnie zastanawiają inne rzeczy:
      – co to jest “decompilacja”
      – ktoś poda model wpłatomatu akceptującego 10k na jeden wrzut? Bo ja znam tylko takie co przyjmują max 4k…

    • Michał 2018.02.21 23:44 | # |

      Model to nie wiem, ale te, które widziałem (mBank), przyjmują do 200 banknotów. Czyli 200 po 100zł albo 100 po 200 zł i można spokojnie 10k wpłacić

    • Michał 2018.02.21 23:46 | # |

      Eh… Matma o tej porze… Nawet nie 200x, tylko 100x po 100zł, czyli nawet z bezpiecznym zapasem

    • niestabilny 2018.03.12 17:35 | # |

      Wpłatomaty Euronet przyjmują do 150 banknotów – teoretycznie 30 tys. Osobiście sprawdzone 10tys (100x100zł)

  8. Qba 2018.02.21 10:26 | # | Reply

    Czy jesteście pewni, że dawanie użytkownikom Iphonów rad, żeby nie przejmowali się tym, że używają tego samego urządzenia do robienia i potwierdzania transakcji, to dobry pomysł? Ryzyko może i mniejsze niż w przypadku Androida, ale sam fakt przeczy przecież idei dwuskładnikowego uwieżytelniania.

    • Echo5 2018.02.21 11:37 | # |

      Dwa slowa: App Sandbox.
      No moze jeszcze jeszcze dwa: Secure Enclave.

    • Qba 2018.02.21 12:23 | # |

      To może jeszcze 5: Zero day exploits i privilege escalation.

    • Echo5 2018.02.21 18:05 | # |

      Ani zero days ani jailbreak nie pomoga jesli bank zrobi co nalezy i zabezpieczy aplikacje za pomoca czegos takiego jak Arxan.
      Moze jest to drogie ale poki nie pracowalem jeszcze w organizacji ktora by go nie uzywala.
      Aplikacja sie wylaczy zanim czegokolwiesz dotkniesz (Debug, injection, jailbreak detection, sniff).
      Jesli sa czytaja to jakies banki to chetnie im to zaimplementuje.

    • Qba 2018.02.23 16:44 | # |

      Czy to jest Arxan, czy nie Arxan, to tylko kolejna programowa warstwa, która sama też może zawierać błędy i być może utrudnia ataki, ale nie jesteś na 100% w stanie stwierdzić, że je uniemożliwia. Czym innym jest fizyczne odseparowanie dwóch urządzeń.

  9. KL 2018.02.21 10:29 | # | Reply

    Halo ale czy coś nie jest tak z zasadami bezpieczenstwa w mbanku ?

    Zlecasz przelew z komórki i potwierdzasz hasłem, które przychodzi na tę samą komórkę ?

    • Monter 2018.02.21 19:25 | # |

      Przy tej kasie jaką banki zarabiają dając jednocześnie ochłapy na lokatach oraz biorąc pod uwagę obecną skalę przekrętów i wyłudzeń jestem zdania, iż każdy bank powinien wprowadzić zasadę dzwonienia do swojego Klienta przy zlecaniu przelewu przekraczającego próg kwotowy ustalony wcześniej w ustawieniach konta. W powiązaniu z sensowną kontrolą kto i jak ów próg zmienia raz na zawsze by to rozwiązało sprawę lewych przelewów.

  10. Sss 2018.02.21 10:40 | # | Reply

    Co jeśli aplikacja bankowa chroniona jest odciskiem palca/pin kodem? Czy trojan będzie w stanie takie zabezpieczenie przeskoczyć?

  11. Noname 2018.02.21 10:43 | # | Reply

    Wyżej opisana sytuacja nie miałaby miejsca gdyby w tejże apce włączona byłaby mobilna autoryzacja, wtedy kody smsowe zastępuje potwierdzenie przelewu w apce.

    • . 2018.02.21 10:59 | # |

      Nic bardziej mylnego, przecież podstawiona aplikacja ma dostęp do aplikacji banku. Jedyne zabezpieczenie to inny nr telefonu do kodów autoryzacyjnych.

    • Noname 2018.02.21 15:35 | # |

      Ależ oczywiście, zgodzę się z Tobą ale jest jedno “ale”. Przy mobilnej autoryzacji musisz przyłożyć albo palucha do czytnika albo wprowadzić pin który jest wyświetlany wraz z klawiaturą mbanku

    • Widz 2018.02.21 16:18 | # |

      Do “.”, akurat w tym przypadku podstawiona aplikacja najpewniej nie miała dostępu do aplikacji banku. Jedynie służyła do odebrania SMS z potwierdzeniem transakcji.

    • Pijacka 2018.02.22 07:00 | # |

      W przypadku rachunku firmowego w BGŻ udostępniany jest sprzętowy token i to jest najlepsze zabezpieczenie bo do wykradnięcia gotówki potrzeba fizycznie go skraść albo samodzielnie podać numer przestępcy.

  12. Michał 2018.02.21 10:49 | # | Reply

    Mam aplikację mobilną banku na telefonie — co robić, jak żyć?
    Jeśli używasz iOS, gratulujemy wyboru — tu dla Ciebie artykuł się kończy — niczego nie musisz robić :)

    No i to rozumiem : ) Dlatego warto inwestować w iPhone’a. Człowiek jest po prostu bezpieczny, a aplikacje są wyższej jakości.

    • Prim 2018.02.21 15:04 | # |

      Dokładnie, nic nie trzeba robić, to musi być bezpiecznie. Niczym Amber Gold ;)

    • Prim 2018.02.21 15:04 | # |

      Inwestuj dalej! :)

  13. sebek 2018.02.21 10:50 | # | Reply

    nie dziwię się, że bohater był zdyszany :)

  14. ZyoMek 2018.02.21 10:51 | # | Reply

    Dziwne mi przy wyszukiwaniu “whatsapp” w sklepie google pokazuje calkiem inne wyniki przyczym pierwsza z nich jest orginalna aplikacja.

  15. szowski 2018.02.21 10:56 | # | Reply

    Z tym udzielaniem uprawnień to ciężko jest zwykłemu użytkownikowi ogarnąć. Większość aplikacji – nawet te najbardziej znane czy preinstalowane na telefonie przez producenta – żąda uprawnień na pierwszy rzut oka zupełnie zbytecznych do tego co apka ma robić. Przez takie zwyczaje użytkownicy przyzwyczajają się do tego, że trzeba się na to wszystko zgadzać.

    • Borygo 2018.02.21 14:19 | # |

      W androidach od chyba 7 możesz każdej aplikacji odebrać uprawnienia które nie chcesz by miała (nie wszystkie jak w poprzednich wersjach a konkretne, czyli np. kalkulator nie musi mieć dostępu do kamery to mu go zabierasz).

    • Rumcajs 2018.02.22 09:13 | # |

      Borygo: czyli kolejna rzecz funkcjonująca już w najstarszych androidach pod warunkiem posiadania jailbreaka (roota). No ale to root miał być tym gwoździem do trumny bezpieczeństwa urządzenia, a chyba jest dokładnie odwrotnie.
      Nie wiem jak działa to w 7, ale niektóre aplikacje weryfikują na starcie uprawnienia i po prostu się nie uruchamiają – np: taki kalkulator gdy stwierdzi zabrane uprawnienie do obsługi smsów lub kamery.

    • Sam 2018.03.15 11:33 | # |

      Dziwne. Ja mam taki kalkulator kupiony jeszcze w Pewex-ie, gdy te były, czyli za PRL-u i on działa u mnie do tej pory, a nie ma żadnego dostępu do kamery, czy sms-ów :D

      Ale kto wie, może te w telefonach potrzebują kamerki i smsów do działania, wpiszesz mu coś do policzenia, ten wysyła sms-a do cioci Niuni która robi na etacie matematyczki, rozwiązuje i wysyła wyniki :D

      A jak ciotunia ma wolne?

  16. Piotr 2018.02.21 10:57 | # | Reply

    Ale to jak w końcu było, czy aplikacja poprosiła o uprawnienie czytania SMSów, czy nie?

    • Karol 2018.02.21 14:30 | # |

      Podbijam. Jeśli na początku aplikacja nie prosiła o uprawnienia do czytania SMSów, a dopiero ‘dociągniety APK’ wymagał tych uprawnień, to czy telefon zapytał o ich przydzielenie przy aktualizacji czy zrobił to bez informowania użytkownika (bo jeśli tak … to trochę słabo :P )

    • dzek 2018.02.21 18:25 | # |

      mnie zastanawia coś z tym związane – wiele appek ma możliwość potwierdzania transakcji bezpośrednio w aplikacji, jakimś drugim pinem czy coś (millenium chyba ma np.) – podejrzewam, że to bezpieczniejsza opcja, bo odczyt sms zrobi bez problemu, a potwierdzenia w appce już nie

    • X0r 2018.02.21 19:32 | # |

      Jeżeli telefon był nowy (a nowy z andkiem <6.0 się już raczej nie sprzedaje) to musiała prosić. Poza tym aby zainstalować dociągniętego apka potrzeba potwierdzenia użytkownika bo system blokuje instalacje jeżeli wykryje nakładkę

  17. Przemo 2018.02.21 11:00 | # | Reply

    W iphonie jedyny scam jaki uświadczyłem to skrypt na stonie wywołujący okno sms ze wstawiąną treścią i adresatem. Ale kliknąć “wyślij” już musimy sami. już dawno tego nie widziałem

    • Prim 2018.02.21 15:09 | # |

      “Albert Einstein” kiedyś powiedział: “The quieter you become the more you can hear.”
      Nie, nie on, ale coś jest w tej myśli :)

  18. Łukasz 2018.02.21 11:14 | # | Reply

    Ciekawe, czy doszłoby do ataku, gdyby zamiast smsa trzeba było podać kod/token wygenerowany przez aplikację bankową.

    • Lukasz 2018.02.21 15:06 | # |

      Trochę słaba idea.

    • Widz 2018.02.21 18:08 | # |

      @Lukas. Czemu uważasz, że to słaba idea? Gdy aplikacja mobilna banku wymaga potwierdzenia transakcji hasłem lub odciskiem palca i jest to weryfikowane po stronie banku to do ataku wymagane byłoby zmodyfikowanie tego programu przez atakującego. To jest o wiele trudniejsze zadanie niż jedynie namówienie użytkownika do zainstalowania aplikacji, które ma pozwolenie na czytanie SMSów.

    • Irek 2018.02.22 13:53 | # |

      Jeśli token jako apka w smartfonie która generowała kod, ale jednocześnie pokazywała czego konkretnie dotyczy, to ok. Jeśli jednak tylko token generujący same kody, jak w google authenticator, to nie jest to dobry pomysł. Takim kodem podpiszesz swoją transakcję na podstawionej stronie banku, a przestępca prawdziwą transakcję na prawdziwej stronie.

  19. Adolf 2018.02.21 11:43 | # | Reply

    Na w Apple Store nie ma apek z trojanami? Nie są one w stanie wyciągnąć hasła z smsa czy go usunąć?

    • Maurycy 2018.02.21 12:36 | # |

      > Na w Apple Store nie ma apek z trojanami?
      Szanse są dużo mniejsze, ponieważ każda aplikacja i każda aktualizacja przechodzi przez proces ręcznej walidacji, nie mówiąc już pewnie o tym, że mają algorytmy które takie rzeczy starają się wyłapywać. No i sam iOS ma reputację dużo bezpieczniejszego systemu niż Android, więc nawet zakładając, że ktoś byłby w stanie przejść przez review Apple’a, to pytanie jakie szkody w ogóle da się zrobić?

    • Michał 2018.02.21 13:35 | # |

      Nie, aplikacjom firm trzecich nie da się nawet nadać uprawnienia do czytania smsów.

  20. Hecol 2018.02.21 12:14 | # | Reply

    a nie wystarczy Mobilna Autoryzacja mBanku (dziala zamiast kodow SMS do autoryzacji) – trzeba sie zalogowac odciskiem palca w apce mBanku i tam kliknac potwierdzenie.

    Czy ta droga tez jest niebezpieczna w przypadku takich atakow na bankowe hasla SMS i przelewy wychodzace?

  21. SeL 2018.02.21 12:18 | # | Reply

    Zastanawiam się nad jednym. Skoro trojan przejmuje dane logowanie do bankowości mobilnej w postaci loginu i hasła, względnie wzoru lub PINu, to co zrobi w przypadku gdy użytkownik loguje się odciskiem palca?

  22. Jarek 2018.02.21 12:25 | # | Reply

    Android – najbardziej bałaganiarski system.
    Sklep Google to już całkiem stajnia Augiasza.
    Łączenie się z bankiem sprzętem z androidem to proszenie się o kłopoty.
    Do którejś wersji androida (chyba 4.3) można było każdej aplikacji zmieniać/ograniczać uprawnienia. Oznaczało to przy okazji także brak reklam, śledzenia, duże oszczędność akumulatora itp. W 4.4 to wyłączyli. No bo przecież reklamy.
    Od tego czasu nikt nie namówi mnie na jakikolwiek sprzęt z androidem. Nie zawsze da się wgrać CyanogenModa. Tak, jak bardzo lubię linuksa, tak nienawidzę androida. Stawiam go daleko, daleko za Windowsem.

    • dd 2018.02.21 18:37 | # |

      Możesz rozwinąć? Kontrolę uprawnień wprowadzono dopiero w Androidzie 6.0.

  23. markac 2018.02.21 12:46 | # | Reply

    A gdzie tu wina systemu? Dałeś uprawnienia, to co się dziwisz, że aplikacja z nich korzysta… :D
    Co myślicie o takiej konfiguracji na Androida:
    – Antywirus
    – Firewall
    – Coś do Malware
    – Obowiązkowo min. świadomości użytkownika
    Specjalnie nie podaję nazw, żeby nie było hejtu na antywirusa :D

    • Jarek 2018.02.21 15:45 | # |

      Jasne.
      Google nie wie, co sprzedaje, a producent antywirusa prześwietli rentgenem każdy programik i wyłapie wszystkie złe aplikacje.
      Powodzenia.

    • Filip 2018.02.21 23:00 | # |

      Jeszcze analiza DPI

    • anzelm 2018.02.22 06:59 | # |

      i rezonans magnetyczny głowy

    • Sam 2018.03.15 11:36 | # |

      Wyłącz wszystkie uprawnienia i nie będziesz musiał instalować tego szaleństwa :D
      (sam zresztą o tym mówisz)

  24. Piotr 2018.02.21 12:46 | # | Reply

    Ja aplikacji mbanku używam tak, mieszkam w UK mam apke mbanku na smartfonie którego używam codziennie czyli na tym z numerem z uk a jeśli chce zrobić jakiś przelew z mbanku mam drugi tel z polską kartą sim na który odbieram smsy z potwierdzeniem przelewu, tym sposobem czuje się trochę bardziej bezpiecznie bo wiem że nikt mi nie odczyta smsa z kodem na drugim tel na którym nie mam żadnych aplikacji, tel służy mi tylko do dzwonienia. Tak można też zrobić jeśli ktoś wykonuje przelewy na duże kwoty kupić prosty tel bez androida tylko do odbierania smsów i kontaktowania się z bankiem posiadając oddzielna kartę sim.

  25. Mmm 2018.02.21 13:22 | # | Reply

    Jak można mieć apke banku na tym samym telefonie co odbiera sms. To jest fail jesli chodzi o logikę

  26. xurc 2018.02.21 13:39 | # | Reply

    Zmieńcie zdanie “Jeśli używasz iOS, gratulujemy wyboru[…]” na “Jeśli używasz iOS lub Windows 10 Mobile, gratulujemy wyboru” :)

    ps. tak jestem tą drugą osobą korzystającą z tego systemu :)

    • xurc 2018.02.21 13:47 | # |

      Generalnie teraz W10M jest jednym z bezpieczniejszych telefonów :)

    • Piotr Konieczny 2018.02.21 15:20 | # |

      :D

    • afhdgaer 2018.02.21 15:53 | # |

      Miałem sam dodać, że mamy niszę dla telefonów z W10Mobile, ale ktoś mnie ubiegł :D

    • Xyz 2018.02.21 21:18 | # |

      Należałoby jeszcze dodać BlackBerry OS 10:)

    • qqq 2018.02.22 11:16 | # |

      To jest nas już pieciu? ;-)

    • Robert 2018.02.22 22:32 | # |

      aż wyć się chce ze złości że ktoś uwalił W10m …
      nieuchronnie zbliża się czas wymiany tel, mam 950 i co teraz ?
      iOS -raczej podziękuję (cena/jakość) … pozostaje coś z knox’em ale czy to wystarczy ?
      jakoś z WP7, WP8, W10m mogłem patrzeć z boku na ten niebezpieczny świat aplikacji mobilnych, teraz po latach trzeba będzie walczyć w tej dżungli jak reszta…ech.

    • Lukasz032 2018.03.09 18:20 | # |

      Jako szczęśliwy posiadacz L950 (i przy okazji deweloper na UWP) zostaję. Platforma Microsoftu ma w PL więcej użytkowników niż iOS, więc nagminne forsowanie drugiego z rozwiązań trochę nie jest obiektywnym spojrzeniem na polski rynek ;)

      Tak, wiem, że MS skończył produkcję telefonów z W10M, ale gdy wyjdzie Surface Phone, to będę jednym z pierwszych, który go zakupi – tym bardziej że platforma aplikacji zostaje ta sama, tu się nic nie zmienia poza tym, że nie customizujemy pod podsystem Mobile, tylko pod rozdziałkę ekranu (co można robić i teraz) ;)

  27. cytadela8 2018.02.21 14:11 | # | Reply

    Według mnie artykuł jest mylący. Aplikacje na Androidzie nie mają dostępu do innych aplikacji i są sandboxowane. W podanym przykładzie “trojan” wykonał pewnie coś co bym raczej nazwał phishingiem na użytkowniku. Wykorzystując uprawnienia do czytania SMSów, (których użytkownik nie powinien przypadkowej aplikacji przekazać) i dane logowania (o które musiał ładnie użytkownika poprosić, a ten nigdy nie powinien ich na telefonie podawać (włączając aktywację aplikacji mBanku, która takowych nie wymaga)) sam wykonał przelew. Jedyne na co bym zwrócił uwagę, co jest faktycznie niebezpieczeństwem androida to jak łatwo złośliwa aplikacja jest w stanie wyświetlić realistyczne phishingowe okno. Ikona w powiadomieniach może być przez nią dowolnie modyfikowana, a uprawnienie do wyświetlania nad innymi aplikacjami nie wzbudza podejrzeń u użytkowników.

    • Lukasz032 2018.03.09 18:22 | # |

      Chyba, że aplikacja ma w uprawnieniach pełny dostęp do “storage devices” i może grzebać w /data (lub znajdzie na telefonie SuperSU i zawoła prawa roota po API, a nieświadomy user się zgodzi) ;)

  28. Jacek 2018.02.21 14:23 | # | Reply

    > dociągany jest dodatkowy APK z tymi uprawnieniami.

    Ale jak to O_o to? Dowolna aplikacja może pobrać i zainstalować inną aplikację, bez pytania o uprawnienia? Jest tutaj chyba jakiś duży skrót myślowy, bo jeśli nie to znaczy że ten system uprawnień aplikacji w androidzie jest kompletnie do dupy!

  29. RS 2018.02.21 14:38 | # | Reply

    Czy taka sytuacja może mieć też miejsce jeżeli w aplikacji mobilnej mam ograniczenie przelewów wychodzących do 50zł?

    • Widz 2018.02.21 18:01 | # |

      To raczej nie był atak na aplikację mobilną banku. Przelew został zlecony przez serwis WWW. Limity transakcji mobilnych nic nie pomogą.

  30. Lukasz 2018.02.21 15:05 | # | Reply

    Wystarczy nie korzystać z aplikacji z Google Play tylko z otwartych aplikacji dostępnych za pomocą FDroid. Tak samo bankowośc, z innego urządzenia.

  31. freedoo 2018.02.21 15:08 | # | Reply

    Klienci – firma czy osoby nieprowadzące działalności gospodarczej? Jeżeli nie była to firma to mogą zapłacić 15k w gotówce.

    • Marcin Maziarz 2018.02.21 18:27 | # |

      Limit 15k to problem kupującej firmy bo zakupu opłaconego gotówką nie będzie mogła wliczyć w koszty. Konsument i tak niczego nie wlicza w koszty więc jemu wszystko jedno. Ale tak czy inaczej sprzedawcę to nie powinno obchodzić.

  32. Sylwek 2018.02.21 15:55 | # | Reply

    Czy ustawienie w mBanku limitu na przelewy na urządzeniach mobilnych na 0 chroni przed tym atakiem?

    • Piotr Konieczny 2018.02.21 16:49 | # |

      Aplikacja mBanku ma limit na max. 1k/transakcja. Tu wyleciało 10k, wiec przestępca logował się przez desktopa. Miał sphishowany login/pass, odebrał swoją aplikacją SMS z telefonu ofiary.

    • aloalo 2018.02.21 18:11 | # |

      Więc kradzież przez nieostrożność właściciela konta, według scenariusza opisywanego jesienią 2017.

    • pamelus 2018.02.22 08:41 | # |

      Dlaczego kanał mobilny nie ma osobnych danych dostępowych, jak w większości banków?

  33. alalo 2018.02.21 16:15 | # | Reply

    Czy skaner “play protect”, wbudowany w Android informuje, że ta aplikacja to wirus? Czy inne antywirusy na Androida to wykrywają?

    • Cyber Janusz 2018.02.23 19:59 | # |

      Bicz, plis. Play protect to animacja która udaje, że coś robi.

  34. aloalo 2018.02.21 16:49 | # | Reply

    Warto zobaczyć sklep google play, jakie kwiatki tam są, tą opisywaną apkę juz chyba usunęli, ale warto zwrócić uwahę, na rosyjskie nazwisko twórcy “Ivanowvv”, jest cały czas inna apka o takie samej nazwie, adres programisty “Namibia, Addis Ababa”. Wśród aplikacji bitcoinowych dominują apki o pochodzeniu rosyjskojęzycznym i z Afryki z jedną gwiazdką, powodzenia…

    Poza tym niebezpiecznik mógłby obczaić tego smartfona, co było z nim robione po zakupie.

    Mnie natomiast zawsze interesuje co policja robi w danej sprawie, bo najczęściej nie dowiadujemy się jak to wszystko się kończy…

  35. aloalo 2018.02.21 17:02 | # | Reply

    Poza tym w całym opisie kradzieży nie zgadza się usunięcie SMS, bo robiąc przelew z aplikacji potwierdzamy go PIN-em do aplikacji, a nie SMS…

  36. CRK 2018.02.21 17:53 | # | Reply

    Dzwoniłem kiedyś na infolinię mBanku z jakąś sprawą. Wszystko było ok, ale na koniec pan konsultant zapytał, czy mam zainstalowaną aplikację mobilną. Powiedziałem, że nie potrzebuję, ale konsultant nalegał (może miał od tego jakąś prowizję?), dopiero jak zapytałem, czy bank bierze na siebie wyciek danych z aplikacji i jaki jest sens haseł sms, wysyłanych na to samo urządzenie to odpuścił.

    Może mi ktoś wytłumaczyć po co komu te aplikacje i dlaczego banki je tak agresywnie wciskają?

    • Piotr Konieczny 2018.02.21 19:31 | # |

      Wiedzą gdzie jesteś i kogo masz w znajomych (jeśli odpowiednie uprawnienia przekażesz i nawet jak ich nie przekażesz, hint: lokalizacja po nazwach SSID).

  37. stukot 2018.02.21 18:14 | # | Reply

    Nie zapominajmy wszak, że jak użyszkodnik jest odpornym na uczenie się idiotą, to żaden ajfon mu nie pomoże, a wprost przeciwnie – osoba może uznać, że mając hiperbezpieczny smartsmartfon może przestać się uczyć, bo o jego bezpieczeństwo dba wielka wspaniała firma. Mam takiego inteligenta w zasięgu. Na przykład zrezygnuje z zabezpieczania hasłem bo za trudno zapamiętać, odcisk palca za bardzo wydłuża czas do obsługi urządzenia, itd. A hasło do icloud zapamiętane w przeglądarce na kompie z którego korzystają trzy osoby, w porywach do 5. Ale przecież on ma ajfona, jest bezpieczny, i nikt mu nie będzie mówił, by zmienił przyzwyczajenia, a zwłaszcza durny admin, który pewnie nie umie w smartfony bo używa jakiejś starej cegły jako telefonu.

  38. Koloses 2018.02.21 18:28 | # | Reply

    To nie wina systemu, tylko jego konfiguracji i użytkownika :)

  39. ekim 2018.02.21 18:49 | # | Reply

    Miałem przez kilkanaście minut tą aplikację zainstalowaną na telefonie, gdy szukałem odpowiedniej apki do śledzenia kursu altów. Nie spodobała mi się i ją odinstalowałem. Było to z 2 miesiące temu. Korzystam z aplikacji mbanku oraz ing. Nie trzymam na kontach dużych kwot. Możliwe, że telefon jest wciąż zainfekowany? Co robić, jak żyć?

    • aloalo 2018.02.21 19:55 | # |

      Ja bym w takim przypadku przywrócił ustawienia fabryczne.

  40. X0r 2018.02.21 19:22 | # | Reply

    Opowiem wam żart o IOSie: przeglądanie plików na dysku lokalnym. IOS jest bezpieczny tylko ze względu na niepotrzebnie ograniczaną funkcjonalność. Jak ktoś nie wie że latarka nie potrzebuje dostępu do smsów to nie jest to wina androida

  41. TeddyB 2018.02.21 19:46 | # | Reply

    Jak się ma android 8 do poniższego fragmentu tekstu?
    Od oreo aplikacja musi ręcznie dostać uprawnienia do instalowania innych apk.
    Cy to też da się jakoś obejść?
    https://imgur.com/IiRjUkY

    “uprawnień do czytania SMS-ów brak — więc zapewne dopiero po stwierdzeniu przez aplikację obecności aplikacji mobilnej do któregoś z banków dociągany jest dodatkowy APK z tymi uprawnieniami.”

  42. dsa 2018.02.21 21:27 | # | Reply

    Drogi niebezpieczniku a skąd to radosne przekonanie że użytkownicy IOS na nic nie muszą uważać?
    -apple nie raz przepuszczał do swojego sklepu złośliwe aplikacje
    -nie są one jedynym potencjalnym wektorem ataku
    -nie wszystkie iphony dostają aktualizację – cała masa osób lata jeszcze z iphonami 5c które są poza okresem wsparcia (ba nawet można kupić jeszcze nowe)

    Nawet jak statystycznie wygląda to gdzieś gorzej to użytkownicy każdego systemu powinni uważać i nie instalować / otwierać wszystkiego co popadnie bez zwracania uwagi na wymagane uprawnienia czy pochodzenie.

    Co z tego że któryś system ma więcej wirusów, jak dla zwykłego użytkownika wystarczy że ściągnie jeden(zwłaszcza że przy większości z nich potrzeba wyjątkowo mało roztropnego użytkownika do ściągnięcia).

    Jako że czyta Was wiele osób nietechnicznych(a przynajmniej prosicie by takim udostępniać część waszych porad) to bardzo proszę Was byście więcej nie dawali rad w stylu kupicie system x i się nie przejmujcie. Sami powinniście doskonale wiedzieć że to tak nie działa więc proszę nie uczcie innych złych nawyków niezależnie od tego który system chcecie bezkrytycznie wychwalać.

  43. Ola 2018.02.21 21:41 | # | Reply

    Czy wystarczy zatem że kupie iphone i nie będę musiała się niczym przejmować?

  44. lk 2018.02.21 21:51 | # | Reply

    Aplikacji whatsapp w sklepie google play są aż dwie – obie oficjalne od tego samego wydawcy w tym ze jedna w wersji dla biznesu. Czemu powyższym screenem wprowadzanie czytelników w błąd?

    • Piotr Konieczny 2018.02.21 21:55 | # |

      panta rhei

    • lk 2018.02.22 00:13 | # |

      odkopywanie starego screena zamiast sprawdzenie czy problem nadal istnieje? To może znów postraszymy użytkowników winda wannacryem?

    • Piotr Konieczny 2018.02.22 07:13 | # |

      Ten screen służy do ilustracji problemu jaki regularnie występuje na Google Play.

    • lk 2018.02.22 09:18 | # |

      Panie Piotrze,

      Tylko ten screen nie jest prawdziwy…

      Pojawił się on w sieci w tygodniu premiery iphone x i przynajmniej na moment publikacji nie był aktualny. Być może kilka lat temu tak to wyglądało ale nie teraz więc dziwie się ze tego nie zweryfikowaliście.
      Regularnośc występowanie tego problemu też jest już raczej trochę naciągana. Ostatnie co google przepuściło to “Update WhatsApp Messenger” gdzie zawiodło dekodowanie nazwy wydawcy “WhatsApp+Inc%C2%A0” z unicode, ale myśle że nie tylko google miało problemy z dekodowaniem :P

      Szczerze to trochę martwi mnie taka forma artykułu – pierwszy raz odniosłem wrażenie ze jest mocno stronniczy i manipuluje faktami zamiast się na nich tylko opierać. Dodatkowo mam nadzieje że jego publikacja w tygodniu premiery najwiekszego konkurenta iphonów to tylko zbieg okoliczności.

  45. Paweł 2018.02.21 22:17 | # | Reply

    Zastanawia mnie potencjalny sposób zabezpieczenia – czy nie wystarczyłoby żeby SMSy z kodami jednorazowymi przychodziły w formie zaszyfrowanej i wtedy tylko i wyłącznie apka danego banku musiałaby je odczytać ? Wtedy przejęcie SMSa byłoby znacznie utrudnione, nieprawdaż?

  46. Daniel 2018.02.22 01:32 | # | Reply

    Mam aplikację mobilną banku na telefonie — co robić, jak żyć?

    “Jeśli używasz iOS, gratulujemy wyboru — tu dla Ciebie artykuł się kończy — niczego nie musisz robić :)”

    Android – tutaj wiemy

    A jak ktoś ma w pełni zaktualizowany Windows Phone 10, nie ma aplikacji Facebooka, Messengera, ani innych firm, a jedynie aplikację banku i korzysta z systemowego Outloooka/Edge? Czy taki delikwent ma się martwić? :-)

  47. Xxx 2018.02.22 07:08 | # | Reply

    Cos mi sie wydaje ze w kbecnej formie nalezalo by zaprzestac uzywania aplikacji bankowych –
    Chyba ze process autoryzacji przelewow bedzie czesciowo wykonywany poza telefonem (np. Generowanie tokena)

  48. ondy 2018.02.22 10:48 | # | Reply

    Przelew zlecony w aplikacji mBanku nigdy nie jest potwierdzany kodem SMS – w takim przypadku trzeba wpisać kod PIN ustalony dla aplikacji. W przypadku opisanym w artykule, przelew musiał być zlecony przez kanał www, a dane do logowania zostały pozyskane wcześniej (być może wydobył je od użytkownika ten sam trojan, a może zostały pozyskane inaczej). Tak więc przelew został zlecony “z zewnątrz”, a trojan po prostu odebrał i przesłał kod autoryzacyjny do nadawcy.

    Temu atakowi można zapobiec, włączając autoryzację mobilną – wtedy zamiast kodów SMS, przelew należy potwierdzić w aplikacji. Z tego co wiem, nie ma na Androidzie uprawnienia, które pozwoliłoby aplikacji na sterowanie działaniem innej aplikacji – czyli trojan nie może bez ingerencji użytkownika potwierdzić przelewu w aplikacji mBanku.

    • Tomek 2018.02.22 16:14 | # |

      O ile mnie pamięć nie myli, to jest możliwość wyboru czy wykorzystywać SMSy czy PIN w aplikacji…

    • aloalo 2018.02.22 18:00 | # |

      @Tomek
      Przelew przez aplikację tylko pinem, nie ma wyboru.

  49. ondy 2018.02.22 11:36 | # | Reply

    Prztyczek dla autora oraz fanbojów apple – chwilę podumałem i uruchomiłem to na swoim macbooku:
    find ~/Library/Messages/Archive -name “3388*.ichat” | xargs -I {} cat {} | sed ‘s/[^a-zA-Z:0-9]/ /g’ | grep -oE ‘haslo: [0-9]+ mBank’

    W wyniku dostałem piękny listing haseł SMS z mojego super bezpiecznego iPhona :) Pozostaje mi powtórzyć radę z artykułu – jak ktoś “się nie zna”, niech używa osobnego telefonu do bankowości ;)

    • ondy 2018.02.22 11:45 | # |

      Aby zadziałało, należy jeszcze zrobić export LC_CTYPE=C oraz poprawić pojedyncze apostrofy, które się popsuły w komentarzu :)

  50. wojtek 2018.02.22 12:25 | # | Reply

    Interesujace. Pracuje w Niemczech i mam konto w niemieckim banku. Bank oferuje trzy metody uwierzytelnienia : SMS, Token generujacy hasla (kosztuje okolo 10€) albo liste hasel jednorazowych. Wybralem SMS, i wlasnie sie zorientowalem, ze jesli zaloguje sie do banku z komorki, to opcja wykonania przelewu jest zablokowana :) Tak po prostu. Zablokowana i po sprawie. Trzeba sie zalogowac na komputerze, i potwierdzic transakcje sms-em. Albo wybrac inna metode uwierzytelnienia.

  51. Puszczyk 2018.02.22 12:38 | # | Reply

    A wystarczyło pozostać przy hasłach jednorazowych – to jest prawdziwy 2FA niezależnie czy z telefonu czy komputera – bo drugi składnik jest niezależny nie tylko pojęciowo ale fizycznie.

  52. aloalo 2018.02.22 16:16 | # | Reply

    Jak były popularne hasła jednorazowe, to też były kradzieże, bo wiele osoób ma zawirusowane PC lub wpisywali te hasła na podstawionych stronach.

  53. Seba 2018.02.22 16:59 | # | Reply

    Artykuł sponsorowany? Skoro aplikacje z Google Play to często złośliwe oprogramowanie, proponuję stworzyć jakiś alternatywny sklep z bardziej rygorystyczną weryfikacją bezpieczeństwa. Na Androidzie jest taka możliwość, na IOS trzeba korzystać z jedynego słusznego App Store. A z niego Apple usuwa nie tylko wirusy, ale też inne programy według własnego widzimisię. Kiedyś pisałem o tym, że usunęli jakiś chrześcijański modlitewnik, a niedawno dołączył do niego bezpieczny komunikator Telegram (https://www.theverge.com/2018/2/1/16958990/telegram-apple-app-store-removal-inappropriate-content). W dodatku sam IOS jest zamkniętym oprogramowaniem, więc nie wiadomo, czy np. nie inwigiluje użytkowników. Wprawdzie zapewniali, że nie mogą odblokować iPhona przestępcy, ale skąd wiadomo, że nie kłamali, żeby nie stracić zaufania swoich klientów? A jeśli chodzi o możliwość ataków z zewnątrz, IOS też nie jest idealny.

  54. Tom 2018.02.22 17:15 | # | Reply

    Jednak hasla jednorazowe z karty kodow sa najbespieczniejsze nie do przejecia

  55. kacper 2018.02.22 17:49 | # | Reply

    A co z systemem Windows 10 Mobile?

  56. Seba 2018.02.22 18:10 | # | Reply

    Poza tym, jak ktoś chce mieć pewność, że ściąga oryginalną aplikację danej firmy, to zawsze może wejść na ich stronę (sprawdzając, czy nie ma błędów w adresie i najlepiej jeszcze, czy HTTPS działa poprawnie) i tam kliknąć na link do sklepu albo pobrać APK bezpośrednio.

  57. mx 2018.02.23 06:18 | # | Reply

    Niby ta aplikacja została usunięta ze sklepu ale bardzo podobna nadal tam jest https://play.google.com/store/apps/details?id=com.crypto.track
    Brak strony internetowej aplikacji.
    Autor nawet nie posiada adresu Gmail?
    Wizualnie kopiuj wklej powyższy zrzut ekranu z tej usuniętej aplikacji.

  58. Max 2018.02.23 12:13 | # | Reply

    Kryptyni…

  59. ToMasz 2018.02.23 14:42 | # | Reply

    Pytanie do “niebezpiecznika”. Gdyby okradziony facet, przed skorzystaniem z bankomatu, usług bankowych w których jest potrzebne potwierdzenie smsem, _wyłączył_ na 10 minut internet (gsm i wifi), czy nie uchroniło by go to przed utratą pieniędzy?
    Pozdrawiam
    ToMasz

  60. Rafał 2018.02.24 00:00 | # | Reply

    Utwierdziło mnie to w przekonaniu, że dobrze robię – na tel mam apki dwóch banków, z “bieżącą kasą”, taką na codzienne życie, zakupy opłaty, raty kredytów. Oszczędności trzymam w bankach, gdzie loguję się rzadko, apki mobilnej nie mam. Tylko logowanie desktop z hasłem z Keepassa (hasło wpisywane w trybie secure desktop).

    Ogólnie, może przydał by się artykuł, jak dodatkowo zabezpieczyć Keepassa? Bo w sumie atak z trojanem na desktopie jest możliwy – napastnik zgrywa plik z baza haseł plus podsłuchuje hasło.

  61. Yeti 2018.02.26 08:21 | # | Reply

    Tak z innej beczki, krotkie pytanie: Mam sprzęt do grania (a w wolnym czasie dziabie Folding@Home). Jak wiadomo, na tym sprzęcie różne rzeczy trzeba instalować (Stimy, jakieś gry z dziwacznymi DRM-ami). Chciałbym kupić osobny sprzęt do bankowości i portfela na kryptowaluty (CURE/FLDC) Myślałem o jakimś Mini PC – albo laptop. Nie może być za drogi (kokosów nie mam na tym portfelu) – tak 600-700 zł to raczej górna granica. Da się kupić w tej cenie coś rozsądnego i bezpiecznego (w rozsądnych granicach ofc – rozumiem, że 100% pewności nie ma, ale na tyle bezpiecznego że dla drobnych sum nie będzie się opłacało męczyć)?…

  62. jadeit 2018.02.26 21:34 | # | Reply

    Nie wiem czy znana chińska firma produkująca telefony, ponoć wzorowane na amerykańskiej f-mie produkującej telefony, szpieguje nas jakoś, ale daje w telefonach możliwość blokowania uprawnień aplikacji.

  63. adro 2018.02.26 23:59 | # | Reply

    uwaga pilne !! wymienię xiaomi note 4 x na Iphone X !
    A tak serio to chyba czas w końcu się przerzucić na Iosa

  64. Paweł 2018.03.05 16:52 | # | Reply

    A w jaki sposób aplikacja dostąpiła danych innej aplikacji?

  65. Seba 2018.03.10 13:08 | # | Reply

    “Kiedy przyszło do płacenia i wyciągnęli 20k w gotówce, powiedziałem że muszę przyjąć płatność przelewem, bo to kwota powyżej 15k.” Gdyby nie prawo zmuszające przedsiębiorców do powierzania pieniędzy banksterom przy wpłacaniu dużych kwot, nie doszłoby do tego ataku.

  66. Ben 2018.05.05 14:09 | # | Reply

    Od 3 lat mam osobny aparat ( nokia na przyciski ) z numerem do autoryzacji przelewów na wszystkich rachunkach, tak samo do odzysku dostepu do skrzynek mailowych. Aplikacja bankowa jest na aparacie którego numeru bank nie zna. Przy okazji mam spokój z telefonami po 18 np z mBanku ktory lubi dzwonic po ludziach z „ofertami” co każdego normalnego człowieka po całym dniu pracy poprostu wqrwia. Jak chcą kontaktu , to jest mail. Druga sprawa to Android, może iOS jest drogi i toporny czasem, ale bardziej bezpieczny. Telefon to teraz drugi komputer i musi też być dobrze zabezpieczony. Pytanie jeszcze jakiej firmy aparat mial ten gość, z którą wersją Androida ?

  67. wer 2018.05.08 16:39 | # | Reply

    Sądząc po akcji “fappening” bezpieczeństwo danych na iOSie nie jest takie wysokie. Większość fotek była zrobiona “jabolami”.

  68. Ja 2019.01.22 00:47 | # | Reply

    Okej, podsumowując:
    Żadnej luki nie było, była za to szkodliwa aplikacja w Google Play.
    Wystarczyło po prostu nie klikać “Akceptuj” przy pytaniu czy konwerter walut może czytać SMSy.
    Zabezpieczenie w Androidzie jest, a aplikacja sama nie kliknie w to “Akceptuj”.
    Android to otwarty system, który na dużo pozwala, co jest bardzo dobrym rozwiązaniem dla osób, które znają jego strukturę i ogarniają tworzenie aplikacji. Możesz go dostosować “od samego spodu”, a dzięki temu ze zwykłego telefonu możesz zrobić chociażby dobrze działający domowy serwer.
    Oczywiście ci którzy potrzebują aby telefon po prostu działał i nie mają czasu/ochoty na grzebanie w systemie to wybiorą iPhone.
    Android nie jest doskonały, ale sama idea otwartego systemu daje wiele możliwości.

  69. » Fleeceware – sposób wyciągania pieniędzy od użytkowników Androida -- Niebezpiecznik.pl -- 2020.01.16 13:11 | # | Reply

    […] Fleeceware to stosunkowo niegroźna rzecz w porównaniu z czysto złośliwymi aplikacjami, które mogą kraść pieniądze z konta i również mogą być obecne w sklepie Google. Poczytajcie o tym jak jak przestępcy ukradli 10 000 PLN pewnemu miłośnikowi kryptowalut. […]

  70. » Czy można zarazić się koronawirusem używając smartfona z Chin? -- Niebezpiecznik.pl -- 2020.02.14 09:42 | # | Reply

    […] Przy okazji przypominamy, że smartfony z Chin mogą przenosić złośliwe dodatki, ale raczej w swoim oprogramowaniu niż na obudowach. Takie smartfony mogą mieć preinstalowane trojany ponieważ proces produkcji tych urządzeń ma pewne luki bezpieczeństwa. No i trzeba ciągle uważać na złośliwe oprogramowanie, które może być zainstalowane nawet z aplikacją z oficjalnego sklepu. […]

  71. » Podróbki Signala i Telegrama trafiły do oficjalnych sklepów i szpiegowały Polaków -- Niebezpiecznik.pl -- 2023.08.31 11:10 | # | Reply

    […] aplikacji. Złośliwe dodatki często kryją się w aplikacjach trywialnych, takich jak te do sprawdzania kursów walut albo pogody.  Zdarza się jednak, że przestępcy podszywają się pod komunikatory, albo nawet […]

Odpowiadasz na komentarz dsa

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: