Użytkownicy urządzeń z systemem Android po raz kolejny znaleźli się na celowniku cyberprzestępców. Tym razem atakuje ich zagrożenie, podszywające się pod pozornie niegroźną aplikację, zamieniającą telefon w latarkę (Flashlight LED Widget).

Z analizy ekspertów z firmy ESET wynika, że celem złośliwej aplikacji jest kradzież danych do logowania się m.in. do aplikacji bankowej Commbank, Facebooka, Instagrama czy WhatsAppa. Dodatkowo aplikacja potrafi podglądać użytkownika i rejestrować to co robi w postaci zdjęć.

Zagrożenie wykrywane przez ESET jako Trojan.Android/Charger.B. Oprócz dostarczania obiecanej funkcji latarki, posiada dodatkowe możliwości – kradnie dane logowania do aplikacji bankowych np. Commbank, NAB i Westpac Mobile Banking czy portali społecznościowych, w tym Facebooka i Instagrama. Zagrożenie może wyświetlać użytkownikowi ekrany wyglądające niemal identycznie jak oryginalne ekrany startowe aplikacji do bankowości elektronicznej. Następnie złośliwa aplikacja potrafi blokować zainfekowane urządzenia. Czyni to aby ukryć przed użytkownikiem swą złośliwą działalność, przechwytywać SMS-y służące do autoryzacji transakcji i wyświetlać fałszywe powiadomienia w celu omijania dwuskładnikowego uwierzytelniania. Wszystkie te działania mają służyć kradzieży pieniędzy z kont użytkowników. Zagrożenie może infekować wszystkie wersje systemu Android.

Działanie złośliwej aplikacji

Po zainstalowaniu i uruchomieniu, latarka na Androida żąda przyznania uprawnień administratora. Dzięki temu potrafi ukryć swoją ikonę i pojawiać się na ekranie urządzenia wyłącznie jako widget latarki. Po uruchomieniu aplikacji jej złośliwe funkcje są rozszyfrowywane i uruchamiane w tle. Użytkownik nawet nie wie, że na jego smartfonie zaczyna właśnie działać bardzo sprytny szpieg. Następnie trojan rejestruje urządzenie na serwerze cyberprzestępców i wysyła informacje o urządzeniu oraz robi zdjęcia właściciela przy użyciu aparatu, zamontowanego z przodu telefonu. Ciekawym jest fakt, że w razie zainfekowania urządzenia, którego lokalizacja wskazuje na Rosję, Ukrainę lub Białoruś, serwer zarządzający dezaktywuje zagrożenie. Prawdopodobnie cyberprzestępcy stojący za tą aplikacją, pochodzą właśnie z tych krajów i w ten sposób chcą uniknąć działań tamtejszych organów ścigania.

Jak mogę usunąć złośliwą aplikację?

Jeśli niedawno pobrałeś aplikację Flashlight z Google Play, możesz sprawdzić, czy urządzenie nie zostało zainfekowane. W tym celu należy wejść w Ustawienia> Menedżer aplikacji> Widget latarki.
Odnalezienie aplikacji jest proste. Niestety jej dezinstalacja już nie. Latarka na Androida próbuje zapobiec usunięciu, nie pozwalając użytkownikowi na wyłączenie uprawnień administratora – to niezbędne do usunięcia tej aplikacji. Aplikację można usunąć wyłącznie uruchamiając urządzenie w trybie awaryjnym.

Źródło: Informacja prasowa