Riltok: mobilni bančni trojanski konj išče nove žrtve v Evropi

05.07.2019
Objavil: Dare Gliha

Raziskovalci družbe Kaspersky so odkrili nove različice mobilne zlonamerne programske opreme Riltok, ki uporabnikom krade denar. Ta je bila prvič opažena sredi leta 2018 v Rusiji, danes pa širi ozemlje svojih tarč na celoten svet. Kot prve cilja evropske države; zakrito kot priljubljeno storitev so jo že opazili v Franciji, Italiji in Veliki Britaniji.

Riltok je bančni trojanski konj, ki za uporabnike pametnih telefonov predstavlja nevarnost, saj je zasnovan tako, da pridobi dostop do finančnih računov in premoženja žrtev. To stori s krajo vpisnih podatkov (uporabniškega ima in gesla) ter zasegom spletne bančne seje. Ti trojanski konji se pogostokrat zakrinkajo kot zakonite spletne storitve in aplikacije ter tako prelisičijo uporabnika, da jih namesti ter vpiše svoje uporabniško ime, geslo in druge občutljive podatke.

V primeru trojanskega konja Riltok (njegovo ime prihaja iz besedne zveze 'pravi pogovor', angl. Real Talk) se scenarij napada običajno začne tako, da uporabnik prejme sporočilo SMS, ki vsebuje povezavo do lažne spletne strani, ki je zelo podobna priljubljeni spletni strani za brezplačne male oglase. Spletna stran povabi uporabnika, da namesti novo verzijo mobilne aplikacije storitve, ki je v resnici zlonamerna programska oprema Riltok. Ko je ta naložena in prejme potrebna dovoljenja s strani okužene žrtve, se določi za privzeto aplikacijo za prejem in pregled sporočil SMS. Tako lahko napadalci preberejo vsa sporočila, vključno s tistimi, ki vsebujejo kode za potrditev poslovanja z bančnimi karticami. Lahko pa pošljejo tudi sporočila SMS na druge telefonske številke in tako zlonamerno programsko opremo širijo naprej.

Glavne funkcije te zlonamerne programske opreme vključujejo:

• S prikazom lažnega zaslona trgovine z aplikacijami Google Play in prošnjo žrtvi, da vpiše podatke svoje plačilne kartice, zlonamerna programska oprema ukrade podatke bančne kartice. Prav tako izvede osnovni pregled, s katerim zagotovi, da so vneseni podatki pristni, kot je na primer štetje števila vpisanih številk kartice.
• Kraja bančnih uporabniških imen in gesel, kar stori tako, da prikaže zaslon, ki posnema bančno aplikacijo, ali v brskalniku odpre spletno stran s spletnim ribarjenjem.
• Skrivanje aktivnosti in nastavitev drugih aplikacij, kot so varnostne rešitve ali nastavitve, ki so namenjene varnosti naprave.
• Skrivanje obvestil zakonitih bančnih aplikacij.

Strokovnjaki družbe Kaspersky so zaznali, da je bilo do sedaj s to obliko zlonamerne programske opreme napadenih okoli 4.000 uporabnikov, največ v Rusiji, pa tudi v Italiji, Franciji in Veliki Britaniji.

»Opazovali smo, kako se je zlonamerna programska oprema Riltok počasi a vztrajno razširila po Rusiji. Sedaj, ko spletni napadalci, ki stojijo za to grožnjo, širijo svoj doseg na nove države in celine, začenši z Evropo, pričakujemo povečanje števila napadov. Takšen scenarij smo namreč videli že večkrat. Ko povzročitelji nevarnosti ustvarijo uspešno zlonamerno programsko opremo, jo po preizkušnji v Rusiji prilagodijo za tuje žrtve in raziskujejo nova ozemlja. Običajno takšne grožnje postanejo globalne,« je izpostavila Tatyana Shishkova, varnostna raziskovalka pri družbi Kaspersky.

Varnostne rešitve Kaspersky so zaznale grožnjo kot Trojan-Banker.AndroidOS.Riltok.