„Bankowość uniwersalna Polska” – tak nazywa się aplikacja, którą można było pobrać z popularnego Google Play. Użytkownicy myśleli, że dzięki niej logują się na własne konto w banku. W rzeczywistości jednak hasła trafiały do hakerów, którzy wyprowadzali pieniądze. Z poziomu aplikacji można było „zalogować się” w sumie do 21 banków. Dzięki temu program mógł być przydatny dla osób posiadających konta w kilku różnych bankach.

DANE WYSYŁANE DO HAKERA

– Za jej pomocą użytkownik spośród aż 21 polskich banków mógł wybrać ten, w którym posiada swój rachunek bankowy. Następnie był proszony o dane uwierzytelniające, czyli login i hasło. Te dane były wysyłane do hakera, a proces logowania do rachunku w ogóle nie miał miejsca. Aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie – użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich użytkowników – tłumaczy Lukas Stefanko, badacz zagrożeń z ESET.

Aplikację wciąż można pobrać, jednak na szczęście już nie z Google Play. Z tego miejsca została usunięta w momencie jej odkrycia, czyli 20 marca.

KOLEJNY ATAK

Do podobnego ataku doszło w listopadzie zeszłego roku. Dotyczył on wówczas użytkowników czternastu polskich banków. Został przeprowadzony za pomocą aplikacji dostępnych w oficjalnym sklepie Google Play: CryptoMonitor oraz StorySaver. Obie aplikacje, oprócz obiecywanych funkcjonalności, wyświetlały swoim ofiarom fałszywe powiadomienia systemowe, które wyglądały identycznie jak te generowane przez popularne w Polsce aplikacje bankowe. Dodatkowo złośliwe aplikacje podsuwały swoim ofiarom fałszywe formularze logowania do rachunków bankowych, by docelowo przechwycić wprowadzane za ich pośrednictwem loginy i hasła. To jednak nie wszystko. Eksperci z firmy ESET podkreślają, że obie aplikacje, podobnie jak Bankowość uniwersalna Polska, potrafiły również przechwytywać wiadomości SMS, zawierające kody do autoryzowania transakcji online.

oprac. mili