27. junij 2019 - Raziskovalci družbe Kaspersky so odkrili nove različice mobilne zlonamerne programske opreme Riltok, ki uporabnikom krade denar. Ta je bila prvič opažena sredi leta 2018 v Rusiji, danes pa širi ozemlje svojih tarč na celoten svet. Kot prve cilja evropske države; zakrito kot priljubljeno storitev so jo že opazili v Franciji, Italiji in Veliki Britaniji.
Riltok je bančni trojanski konj, ki za uporabnike pametnih telefonov predstavlja nevarnost, saj je zasnovan tako, da pridobi dostop do finančnih računov in premoženja žrtev. To stori s krajo vpisnih podatkov (uporabniškega ima in gesla) ter zasegom spletne bančne seje. Ti trojanski konji se pogostokrat zakrinkajo kot zakonite spletne storitve in aplikacije ter tako prelisičijo uporabnika, da jih namesti ter vpiše svoje uporabniško ime, geslo in druge občutljive podatke.
V primeru trojanskega konja Riltok (njegovo ime prihaja iz besedne zveze 'pravi pogovor', angl. Real Talk) se scenarij napada običajno začne tako, da uporabnik prejme sporočilo SMS, ki vsebuje povezavo do lažne spletne strani, ki je zelo podobna priljubljeni spletni strani za brezplačne male oglase. Spletna stran povabi uporabnika, da namesti novo verzijo mobilne aplikacije storitve, ki je v resnici zlonamerna programska oprema Riltok. Ko je ta naložena in prejme potrebna dovoljenja s strani okužene žrtve, se določi za privzeto aplikacijo za prejem in pregled sporočil SMS. Tako lahko napadalci preberejo vsa sporočila, vključno s tistimi, ki vsebujejo kode za potrditev poslovanja z bančnimi karticami. Lahko pa pošljejo tudi sporočila SMS na druge telefonske številke in tako zlonamerno programsko opremo širijo naprej.
Glavne funkcije te zlonamerne programske opreme vključujejo:
- S prikazom lažnega zaslona trgovine z aplikacijami Google Play in prošnjo žrtvi, da vpiše podatke svoje plačilne kartice, zlonamerna programska oprema ukrade podatke bančne kartice. Prav tako izvede osnovni pregled, s katerim zagotovi, da so vneseni podatki pristni, kot je na primer štetje števila vpisanih številk kartice.
- Kraja bančnih uporabniških imen in gesel, kar stori tako, da prikaže zaslon, ki posnema bančno aplikacijo, ali v brskalniku odpre spletno stran s spletnim ribarjenjem.
- Skrivanje aktivnosti in nastavitev drugih aplikacij, kot so varnostne rešitve ali nastavitve, ki so namenjene varnosti naprave.
- Skrivanje obvestil zakonitih bančnih aplikacij.
Strokovnjaki družbe Kaspersky so zaznali, da je bilo do sedaj s to obliko zlonamerne programske opreme napadenih okoli 4.000 uporabnikov, največ v Rusiji, pa tudi v Italiji, Franciji in Veliki Britaniji.
»Opazovali smo, kako se je zlonamerna programska oprema Riltok počasi a vztrajno razširila po Rusiji. Sedaj, ko spletni napadalci, ki stojijo za to grožnjo, širijo svoj doseg na nove države in celine, začenši z Evropo, pričakujemo povečanje števila napadov. Takšen scenarij smo namreč videli že večkrat. Ko povzročitelji nevarnosti ustvarijo uspešno zlonamerno programsko opremo, jo po preizkušnji v Rusiji prilagodijo za tuje žrtve in raziskujejo nova ozemlja. Običajno takšne grožnje postanejo globalne,« je izpostavila Tatyana Shishkova, varnostna raziskovalka pri družbi Kaspersky.
Varnostne rešitve Kaspersky so zaznale grožnjo kot Trojan-Banker.AndroidOS.Riltok.
Varnostni strokovnjaki družbe Kaspersky za zaščito pred finančno zlonamerno programsko opremo, vključno s trojanskim konjem Riltok, svetujejo:
- Nikoli ne klikajte na sumljive povezave v sporočilih SMS.
- Blokirajte možnost nastavitve programov iz neznanih virov in nameščajte le aplikacije iz uradnih trgovin z aplikacijami.
- Bodite pozorni, katera dovoljenja od vas zahteva posamezna aplikacija. Če zahtevano dovoljenje ne ustreza funkcijam aplikacije, te raje ne uporabljajte.
- Za zaščito pred zlonamerno programsko opremo in njenim delovanjem uporabite odporno varnostno rešitev, kot je brezplačna različica varnostne rešitve Kaspersky Internet Security for Android, ki vam pomaga izogniti se takšnim neprijetnim situacijam.
Podrobnosti o bančnem trojanskem konju Riltok si lahko preberete na spletnem mestu Securelist.com.
