Hackeři nově útočí na Čechy. Přes mobil dokážou vyluxovat i vaše konto
Na začátku je zdánlivě obyčejná aplikace na nahrávání hovorů nebo třeba překládání do cizích jazyků. Je zdarma na oficiálním app storu Googlu a bezchybně funguje. Jenže za pár dní vás stejná aplikace může připravit o úspory. Nové způsoby útoků cílené speciálně na Českou republiku odhalili odborníci v Esetu.
Naposledy před čtrnácti dny zaútočila zatím neznámá skupina podvodníků na bankovní účty českých uživatelů. Obětí se tentokrát stali ti, co s z oficiálního obchodu Googlu stáhli nakaženou aktualizaci aplikace pro překládání z jednoho jazyka do druhého.
Původně neškodná aplikace se po aktualizaci proměnila ve špionážní software, který útočníkům předal přístupová hesla do mobilního bankovnictví napadených lidí. Byl to již třetí útok zaměřený primárně na uživatele v České republice od září 2018.
V září 2018 se v obchodě s aplikacemi společnosti Google naposledy objevila aplikace QRecorder...
Jeden z důvodů, proč nechci žádné bankovnictví v mobilu a proč nestojím o mobilní data. Chápu ale, že preference jiných lidí jsou opačné.
Nestojis o mobilni data je spatna formulace, ty proste mobilni data nepotrebujes, kdez to ja si bez mobilnich dat ted tady s vami na poradne nedopisuju.
Mimochodem, banky tvrdi, ze paradoxne utocnici tim, ze je jejich trojsky kun v mobilu, odchyti prihlaseni do bankovni aplikace a odchyti SMS, tak muze manipulovat s tvym uctem dle libosti. Banky ale rikaji, ze pokud nebudes pouzivat pro overovani plateb SMS, ale pouzijes overovani pres bankovni aplikaci (nabizi mimo jine AirBank a pry i CS), tak to utocnik prorazit nedokaze. Uplne nerozumim, proc by nemohl, kdyz ma prihlasovaci udaje k internet bankingu, ale pravdepodobne ten trojak proste pocita s overenim jen pres SMS a pokud SMS neprijde, tak ke zneuziti nedojde.
No, dokážu si představit, že bych data i občas využil, ale jak píšeš, obejdu se bez nich, navíc jsem lakomý za ně (pro mě tedy skoro zbytečně) cokoliv platit. Každopádně žádné bankovnictví bych si do mobilu nedal ani kdyby byla neomezená data zadarmo. Ujištěním bank mohu a nemusím věřit, že. A když se připojím k bance na PC, hypotetický útočník může sice keyloggerem získat login/pass, ale nedokážu si představit, jak zároveň získá potvrzovací SMS z offline mobilu. Pokud i to nějak lze, bude to IMHO řádově složitější, než když má na kompromitovaném mobilu vše pěkně pohromadě.
Me by zajimalo jedno.
Oni pocitaji s tim, ze uzivatel zada sve prihlasovaci udaje na tu podvrzenou stranku. Jak to ale funguje v pripade, ze uzivatel pro prihlasovani do mobilni aplikace pouziva napr. otisk prstu nebo rozpoznani obliceje? Chrani to toho uzivatele pred timto typem utoku, nebo ne?
To snad neni tvuj problem?
A presne o tom to je, Google si z uzivatelu dela srandu. Postizene banky by se meli spojit a zazalovat Google. Jenze banky budou pojistene a ono to jako vzdy vysumi, za par mesicu se to bude opakovat.
Chapu to tak, ze jsi tapla na bankovni aplikaci a zobrazilo se podvrzene prihlaseni jmeno a heslo. Pokud bys to zadala a zapomnela, ze se vlastne prihlasujes otiskem, tak by zskali pristup, jinak ne.
Ja vim, ze Apple se tahle afera netyka (i kdyz clovek nikdy nevi, zejo), me to zajimalo spis obecne, jestli pouzivani otisku prstu nebo rozpoznani obliceje misto zadavani prihlasovaciho jmena a hesla je bezpecnejsi, nebo jestli i tohle se da nejak "hacknout".
Tak ja jsem asi jiny. Od te doby co mam google pay, uz nenosim u sebe hotovot ani karty...:)
Co jsem cetl jinde, tak neni pravda, ze je to utok na uzivatele v CR, ale ten utok je na CR, Polsko a nemecky mluvici zeme, pokazde je to stejne a pravdepodobne za tim stoji stejni pachatele.
Na cele veci je zajimava snad jen reakce firmy Google, ktera od toho dava ruce pryc a dela, ze jich se to netyka a nemohou s tim nic delat. Pritom je treba jasne rici, ze primarni chyba je predevsim na strane firmy Google, ktera totalne kasle na jakakoli zabezpeceni svych sluzeb a jak Chrome Store tak Google Play jsou pravidelne zneuzivany podvodniky, kteri bud nasadi seriozne se tvarici aplikaci a po case ji zmeni v trojskeho kone a vysaji data z telefonu, kde aplikace je nebo zneuziji (hacknou) cizi seriozni aplikaci primo ve storu a nasadi misto ni trojskeho kone. Nez se na to prijde, obvykle to trva nekolik dni a mezitim dokazou utocnici stahnout data z mobilu nebo pocitace (weboveho prohlizece).
Google je proste vir, cela ta firma je jedno velke nestesti!
Nepoužívám chytré telefony, nejsem blbec., tyhle problémy mě netrápí. Nepoužívám antivir, nejsem chcípák a jsem zdravý (můj PC tedy).
ALE dost hodně by mě zajímalo, KONEČNĚ ŘEŠENÍ OTÁZKY PRÁV NA androidu. Dokonce to bylo i na nově, radili tam, znemožnit (zůžit) oprávnění aplikacím. To se sice hezko řekne, ale JAK TO KONRÉTNĚ UDĚLÁ BFU? je k tomu potřeba custom ROM nebo root? nebo to už konečně android umí? Stačí na to aplikace typu x-privacy nebo další meta plikace androidu na správu práv aplikací? Jdou tyhle "appky" instalovat bez omezení(rootu)...?
L-core se přiznal. Kvůli němu mají češi Drahá mobilní data. Radši tohle neříkej před Martou.
Ano Android uz ma trochu rozsirene moznosti ohledne prav v zakladu (od verze 8?). Kliknes na spravce aplikaci, vyberes aplikaci a muzes tam nektere veci vytukat. Neni tam zdaleka vsechno.
Naopak je docela problem s udrzovanim aplikaci typu X-privacy pro nove verze Androidu. Google furt meni API, aby znemoznil cinnost takovych aplikaci, takze neni uplne jiste, ze by ti na novem Androidu fungovala, ja uz jsem to vzdal. Root je samozrejme nutnost, bez toho si mimo oficialni googlovske nastaveni ani neuprdnes.
Já používám tablet s Androidem snad 7 let (data - ano, bankovnictví - ano, dalších 150 věcí - ano) a root jsem nikdy nepotřeboval.