Użytkownicy urządzeń z systemem aplikacja potrafi podglądać użytkownika i rejestrować to co robi w postaci zdjęć.
Widget latarki w Menedżerze aplikacji
Zagrożenie wykrywane przez ESET jako Trojan.Android/Charger.B, oprócz dostarczania obiecanej funkcji latarki, posiada dodatkowe możliwości – kradnie dane logowania do aplikacji bankowych np. Commbank, NAB i Westpac mobile Banking czy portali społecznościowych, w tym Facebooka i Instagrama. Zagrożenie może wyświetlać użytkownikowi ekrany wyglądające niemal identycznie jak oryginalne ekrany startowe aplikacji do bankowości elektronicznej. Następnie złośliwa aplikacja potrafi blokować zainfekowane urządzenia, aby ukryć złośliwą działalność, przechwytywać SMS-y służące do autoryzacji transakcji i wyświetlać fałszywe powiadomienia w celu omijania dwuskładnikowego uwierzytelniania. Wszystkie te działania mają służyć kradzieży pieniędzy z kont użytkowników. Zagrożenie może infekować wszystkie wersje systemu Android.
Złośliwa aplikacja kradnąca hasła m.in. do bankowości mobilnej
Działanie złośliwej aplikacji
Po zainstalowaniu i uruchomieniu, aplikacja żąda przyznania uprawnień administratora. Dzięki temu potrafi ukryć swoją ikonę i pojawiać się na ekranie urządzenia wyłącznie jako widget latarki. Po uruchomieniu aplikacji jej złośliwe funkcje są rozszyfrowywane i uruchamiane w tle – użytkownik nawet nie wie, że na jego smartfonie zaczyna właśnie działać bardzo sprytny szpieg. Następnie trojan rejestruje urządzenie na serwerze cyberprzestępców i wysyła informacje o urządzeniu oraz robi zdjęcia właściciela przy użyciu aparatu, zamontowanego z przodu telefonu. Ciekawym jest fakt, że w razie zainfekowania urządzenia, którego lokalizacja wskazuje na Rosję, Ukrainę lub Białoruś, serwer zarządzający dezaktywuje zagrożenie. Prawdopodobnie cyberprzestępcy stojący za tą aplikacją, pochodzą właśnie z tych krajów i w ten sposób chcą uniknąć działań tamtejszych organów ścigania.
Jak mogę usunąć złośliwą aplikację?
Jeśli niedawno pobrałeś aplikację Flashlight z Google Play, możesz sprawdzić, czy urządzenie nie zostało zainfekowane. W tym celu należy wejść w Ustawienia> Menedżer aplikacji> Widget latarki.
Odnalezienie aplikacji jest proste. Niestety jej dezinstalacja już nie. Trojan próbuje zapobiec usunięciu, nie pozwalając użytkownikowi na wyłączenie uprawnień administratora – to niezbędne do usunięcia tej aplikacji. Aplikację można usunąć wyłącznie uruchamiając urządzenie w trybie awaryjnym.
źródło: ESET
Kan
To jakie uprawnienia miała ta aplikacja? Do obsługi samego Flasha w Android 6.0+ jest oddzielne pozwolenie. W poprzednich wersjach potrzeba było niestety obsługi kamery.
Ale aby kraść hasła to nie wystarczy.
Na szczęście w Android 7.0 latarka jest częścią systemu. Przynajmniej u mnie jest w menu szybkiego dostępu do ustawień (to powiązane z powiadomieniami).