12:34
1/8/2018

Jak wczoraj poinformował nas jeden z Czytelników, w oficjalnym sklepie Google Play pojawiła się fałszywa aplikacja mobilna banku BZ WBK:

Celem aplikacji, co sugerują uprawnienia do jakich chce uzyskać dostęp, jest m.in. przechwytywanie SMS-ów:

Niestety, Czytelnik (który podał błędny adres e-mail) nie zdradził, jak natknął się na tę aplikację. Czy otrzymał ją w e-mailu, czy po prostu wpadła mu w oko, kiedy szukał aplikacji BZ WBK w sklepie Google.

Przyglądamy się aplikacji i niebawem opublikujemy więcej szczegółów w tej sprawie.

IOC

Nazwa paczki:
pl.zachodni.light

SHA256: 7fe1e261ecf70d1002a7130cc74c9c4e6e7cff0d34036f13f2463d96069ba990

Certyfikat na:
CN=Valentin Iurchenko, OU=Mobile department, O=WestCorp Service Ltd., L=Moscow, ST=Moscow, C=RU


Aktualizacja 1.08.2018, 12:01
W chwili pisania niniejszego artykułu skontaktował się z nami kolejny Czytelnik, który zauważył reklamy niniejszej aplikacji w serwisie Wykop.pl. Mamy więc sposób dystrybucji: sieci reklamowe.

Dziękujemy Piotrowi, Janowi i Jarosławowi za informacje w tej sparwie.

Przeczytaj także:

39 komentarzy

Dodaj komentarz
  1. Ja nie rozumiem… po co ten cały Sklep, po co ekosystem, po co odsiewanie syfu, jak byle kto może wrzucić syfiastą apkę udającą bankową? Chyba BZWBK już z prawnikami rozmawiają? Czy nie?

    • Apka nie zawierała znanych exploitów na andka, do których doczepiłby się skaner – właśnie dlatego pewnie przeszła (gógiel weryfikuje apki tylko skanem automatycznym, nie cenzuruje funkcjonalności) ;)

  2. Aplikacja zgłoszona.

  3. Artykuł bez informacji, że iOS lepszy, artykułem straconym.

  4. A zgłosiliście już do BZWBK?

  5. Czy Google Play protect obroni przed ta aplikacja?

    • Nope. On chroni tylko, jeśli jest jakiś złośliwy (wg Google) kod.

  6. Apka zamieciona z Google Play

  7. Niestety ale to fakt Android sklep jest gorszy i to o lata świetlne od app store. Chociażby o baaaaardzo rygorystyczne normy przyjęcia aplikacji do sklepu co niestety nie ma miejsca w syfiastym android markecie ;/ A szkoda bo zrezygnowałem z ios jednak androidmarket to tragedia o ile sam oreo działa w miarę spoko

    • Psssst. Android Market nie istnieje od kilku lat.

  8. No ja przepraszam, ale to chyba trzeba mieć pół mózgu, żeby zainstalować aplikację bankową wrzuconą na Google Play przez jakiegoś randomowego czlowieka z adresem na GMailu i 100 pobraniami…

    • Widać podobne siano zamiast mózgu miał pracownik Google, który to zaakceptował ; )

    • Te 100 pobrań ładnie odpowiada na Twoje wątpliwości.

    • Nie wiadomo ile z tych instalacji zostało dokonanych przez samych przestępców.

    • Żaden pracownik ręcznie nie akceptuje apek… to jest automat, skanujący tylko na wirusy i exploity, no i na elementarne błędy w manifeście czy brakujące biblioteki – no ale skoro apka była prawidłowo napisana i w capabilities miała wpisane dokładnie to co robi, to system ją puścił ;)

  9. Jakiś czas temu pojawiła mi się jako reklama na którejś że stron, nie pamiętam już. W kazdym razie promowana była w ramach AdWords

  10. Już jej nie ma :)

  11. Ktos ma backup pliku apk? Poszperalbym w srodku.

    • Też proszę o link

    • @Mateusz, powinienem mieć. Będę przed kompem to z tel zaciągne. Sam się na weekend chcę pobawić.

      Cytując @redakcja z dzisiaj “a skąd podejrzenie, ze to fałszywa aplikacja?” to trochę się nie popisali chłopaki. Chyba stażysta ;) Bank bardziej profesjonalnie i co mnie mega zaskoczyło to czas reakcji 11:16 wysłałem info a o 11:24 Pani Monika mi odpisała: “dziękuję za przesłaną wiadomość i poinformowanie nas o sytuacji.

      Otrzymana od Pana korespondencja została przekierowana do właściwej jednostki banku w celu weryfikacji.”

      Później chciałem się dowiedzieć jakie działania dokładnie podejmą ale po za kolejnymi podziękowaniami nie uzyskałem odpowiedzi ze względu na cyt. “procedury bezpieczeństwa”.

    • Też podpinam się pod prośbę. velkan.temp[AT]interia.pl

  12. Już jej nie ma.

  13. Dlatego nie korzystam z żadnych appek srappek, bo na co to komu. Jak jestem w sklepie/przy bankomacie to użyję karty. Jak chcę coś kupić w necie to albo paypalem albo przelewy24. Appki mobilne banków to tylko robienie sobie problemów i narażanie się na podobne sytuacje jak ta w artykule.

    • Akurat używanie apki w telefonie jest bezpieczniejsze niż dostęp do bankowości elektronicznej na komputerze.
      Karty w bankomacie też nie powinieneś używać bo to niebezpieczne, najlepiej użyć blika do wypłaty, w karcie zablokować transakcje zbliżeniowe i płacić tylko telefonem.

    • Ta, a potem mi ukradną telefon i nie tylko go w jakimś lombardzie na drugim końcu miasta sprzedadzą ale też wyczyszczą mi konto. No brawo. Bankowość tylko w domu, podpiętym do sieci domowej kablem ethernet (żeby dane nie latały), na LiveDVD gdzie żaden keylogger czy inny Zeus nie ma prawa się dostać.

      A zbliżeniówki mam fizycznie zablokowane (stali czytelnicy wiedzą o co chodzi) właśnie z powodu niebezpieczeństwa tych tranzakcji.

      BLIK jest WYGODNY. A co jest WYGODNE, jest NIEBEZPIECZNE (jak np. zbliżeniówki).

    • Dobrze zabezpieczonej wifi też nie podsłuchasz… ba, o ile nie masz sieci niezabezpieczonej albo oWEPowanej, to nie podsłuchasz transmisji od innych klientów nawet będąc w sieci (inne strumienie, każdy negocjuje swój klucz szyfrowania, group key jest tylko elementem wspólnym… zakładając współczesne AKTUALNE systemy operacyjne, to już na kracka niepodatne, a najnowszy CVE dotyczył tylko uzyskania dostępu, nie deszyfrowania ruchu innych). A co do mobilności – ja będąc w biegu i czasem musząc dostać się do konta z różnych miejsc (czytaj: różne wifi), mam postawionego po prostu VPN-a w sieci domowej, do którego idzie się wpiąć nawet na sieci z poblokowanymi portami, a ruch komputerVPN leci szyfrowany ;)

    • Też racja, Łukasz. Jednak ja wolę robić “staromodnie”, bo jednak ethernetowa sieć tylko jest do podsłuchania jak się fizycznie do niej wepnie, a na sieci WiFi i HTTPS może się zawsze jakiś exploit pojawić, czy też wyciec (a wiadomo co jeszcze mają grupy podobne do Shadow Brokers?).

      Oczywiście że NSA, CIA i inne “rządówki” nie będą raczej ludziom kraść pieniędzy, ale już bandyci którzy położą swoje łapska na odpowiedniej kombinacji exploitów – to tak. Chyba nie trzeba przypominać na czym bazowało WannaCry, prawda?

      Także ja sprawy bankowe wolę robić tak a nie inaczej, no a jeśli trzeba będzie robić tranzakcje w ruchu, to faktycznie sobie VPN-ka postawię.

  14. Otwartość Androida ma ten minus, że można wrzucić dam dowolną aplikację, którą weryfikować będzie komputer. Sam jestem fanem automatyzacji wszelkiej maści, ale w takim przypadku wydaje mi się, że testować apki powinni wykwalifikowani pracownicy, którzy według mnie poradzą sobie lepiej niż najbardziej zaawansowany algorytm.

    • A z drugiej strony masz wolność deweloperów… jest masa bardzo dobrych independent developers, bez których do teraz oficjalni stosowaliby debilizmy pokroju reklamy całostronicowe w apce albo pop-upy zasłaniające klawiaturę podczas pisania tekstu :/
      To właśnie independenci nakręcili andka jako platformę i gdyby nie oni, to system też by się nie wybił, nieważne ile w to gógiel zielonych wsadził ;)

  15. A w salonie trzeba się odpędzać przez 5 minutod babki która próbuje wcisnąć aplikację na telefon.

  16. Z mojego punktu widzenia to sytuacja niedopuszczalna, fakt że Android/Google wpuszcza takie śmieci do sklepu bardzo źle o nich świadczą. Dawniej byłem fanem BlackBerry – jak umarło przez jakiś czas miałem Androida – sam system działał ok, ale nie miałem do Androida zaufania. Teraz mam Iphona 6s i jednak to zupełnie inna klasa jeżeli chodzi o pewne rozwiązania. Szkoda, że obecnie na rynku są tylko dostępne dwie opcje.

    • Jest jeszcze W10M na ostatnich sprzedających się właśnie egzemplarzach, który będzie wyparty przez W10ARM, gdy tylko prototyp MS wyjdzie z fazy prototypu… natenczas pozostaję przy swojej L950 ;)

    • L950? Lubisz gorrrące laski i telefony? ;)

  17. Przy logowaniu do serwisu internetowego BZWBK wyskakuje ostrzeżenie:
    “Szanowni Państwo,

    w sklepie Google Play została wykryta złośliwa aplikacja „BZWBKlight”, która podszywa się pod aplikację banku. Jej instalacja spowoduje zainfekowanie urządzenia użytkownika. Po uruchomieniu „BZWBKlight” wymuszana jest zgoda na dostęp do wiadomości SMS poprzez wyświetlenie komunikatu:

    “Bez uprawnień SMS BZWBKlight nie działał poprawnie. Zezwolenie to jest potrzebne do wykrywania złośliwych i phishingowych linków w przychodzących wiadomościach SMS oraz w celu zapobiegania oszustwom ze strony osób trzecich. Żadne dane nie są przechowywane lub używane przez BZWBK”.

    Nadanie uprawnień pozwoli złośliwej aplikacji przejąć kontrolę nad Państwa wiadomościami SMS, zwiększając tym samym ryzyko kradzieży pieniędzy.

    W związku z tym zwracamy szczególną uwagę, aby nie instalować tej aplikacji, a jeżeli została już zainstalowana, należy niezwłocznie usunąć ją z urządzenia.

    Tak wygląda złośliwa aplikacja w sklepie Google Play:
    *Screen z apką w Google Play*

    Więcej informacji na temat zasad korzystania z usług bankowości mobilnej i internetowej znajduje się na stronie banku w zakładce bezpieczeństwo.

    W przypadku sytuacji budzących Państwa wątpliwości prosimy o kontakt.

    Z poważaniem

    Bank Zachodni WBK”

  18. Szanowni Państwo,
    Bank podjął działania, aby zminimalizować skutki działania złośliwej aplikacji oraz usunąć ją ze sklepu. Obecnie nie ma jej już w sklepie. Osoby, które ją zainstalowały prosimy o niezwłoczne odinstalowanie aplikacji. W przypadku wątpliwości, prosimy o kontakt z naszą infolinią pod numerem 1 9999.
    Polecamy także artykuł w którym informujemy, jak unikać tego typu zagrożeń: https://blog.bzwbk.pl/2018/01/nie-zaaplikuj-niebezpiecznej-aplikacji
    Pozdrawiamy

    • Punkt pierwszy artykułu należałoby zmienić… :)

    • A drugi do zredagowania –

      “od kiedy aplikacja jest w sklepie – jeśli aplikacja jest w sklepie od niedawna, to lepiej jej nie pobieraj.”

      Będzie tak, że BZWBK wyda nową aplikację dajmy na to do obsługi oferowanych ubezpieczeń (poszerzona funkcjonalność z natywnej aplikacji) i nikt nie będzie chciał pobrać :P

      BTW – do Zespół_BZWBK – weźcie się troszkę ogarnijcie i pozwólcie ludziom na listy haseł i tokeny sprzętowe (takie jak oferujecie prowadzącym działalność) i tyle w temacie.

      Ja wiem że to dodatkowy koszt po za firmą, ale kurczaki, nie ma lepszej ochrony niż sprzętowy token lub – jak kiedyś za czasów Kredyt Banku – aplikacji typu token na systemy typu symbian. ( i nie chodzi mi tu o blika, gdzie przestępcy widzą wbijany paluchem patern/kod zabezpieczający ekran smartfona np).

      Please!

  19. Token sprzętowy fajna sprawa. Wczoraj nawet taki zamówiłem w jednym z banków – tak dla klientów indywidualnych. Niestety jest jeden mały problem. Tylko tokeny wspierające standard: U2F – FIDO są niezawodne gdyż weryfikują komu przekazujemy “dane”. Niestety standardowe OTP ma jedną straszliwą wadę – nawet wobec sms – nie wiesz co autoryzujesz. Jeżeli nie zauważysz, że jesteś na “fałszywej stronie” autoryzujesz coś złodziejom nie sobie.
    W smsie przynajmniej była informacja czego dotyczyła transakcja….
    https://www.yubico.com/2016/02/otp-vs-u2f-strong-to-stronger/

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.