CSIRT KNF w ramach swoich działań operacyjnych podjął się przeanalizowania aplikacji mobilnej PeoPay Smart. Jak się okazało, żądała ona wielu uprawnień i wyciągała od swoich użytkowników wrażliwe dane.
CSIRT KNF ujawnia złośliwą reklamę
Cała sprawa ma swój początek na portalu społecznościowym Facebook, gdzie promowano złośliwą aplikację PeoPay Smart. Wymagała ona od swoich użytkowników uprawnień do wielu funkcji: Wi-Fi, Bluetooth, zapisu i odczytu pamięci zewnętrznej, dostępu do lokalizacji, kamery i mikrofonu. Uprawnienia te są krytyczne pod względem prywatności, gdyż aplikacja dzięki nim dostaje pełny dostęp do naszych danych i zasobów systemu.
Aplikacja zawierała w sobie także złośliwy kod z pliku CZa.json, który ładował się za pomocą metody DynamicDexOpt. CSIRT KNF w raporcie wyjaśnia, że taka metoda jest często wykorzystywana do ominięcia mechanizmów analitycznych.
Gdy aplikacja zostanie przez nas uruchomiona, to żąda uprawnień do wiadomości SMS. Posiada ona także możliwość wykradania wiadomości jeszcze przez nas niewysłanych za pomocą metody loadNotSentSmsMessages.
Złośliwa aplikacja poprzez komponent WebView wysyła nam fałszywą stronę logowania, przez co może ona uzyskać nasze poświadczenie. Jest to w szczególności niebezpieczne, gdyż dzięki temu cyberprzestępcy mogą wykraść nasze wiadomości, które zawierają, chociażby SMS kody z banku.
Jak podaje CSIRT KNF, po analizie domeny można wywnioskować, że jest przejętą stroną www, wykorzystaną przez oszustów jako część infrastruktury kampanii. Dlatego aplikację należy omijać, gdyż urząd klasyfikuje ją jako niebezpieczny stealer bankowy.