Istraživači kompanije Kaspersky otkrili su da je malver koji krade novac, Riltok, pokrenuo nove verzije i da širi svoj opseg napada iz Rusije u ostatak sveta, počevši od Evrope, tako što se prerušava u usluge popularne u Francuskoj, Italiji i Velikoj Britaniji. Riltkok je prvi put primećen sredinom 2018. godine.
Riltok je bankarski trojanac. Oni predstavljaju opasnu pretnju za korisnike pametnih telefona jer su dizajnirani da dobiju pristup finansijskim računima i imovini svojih žrtava, prvenstveno putem krađe kredencijala za prijavu i preuzimanjem sesija internet bankarstva. Trojanci se često prerušavaju u legitimne veb usluge i aplikacije kako bi prevarili korisnika da ih instalira i unese svoje kredencijale i osetljive podatke.
U slučaju trojanca Riltok (ime potiče od reči „Real Talk”), napad obično počinje tako što korisnik primi SMS poruku sa linkom koji vodi na lažni veb-sajt koji liči na popularni sajt za besplatno klasifikovano oglašavanje. Sajt poziva korisnika da instalira novu verziju mobilne aplikacije usluge koja je, u stvari, malver Riltok. Kada se malver preuzme i dobije potrebne dozvole od zaražene žrtve, on automatski postavlja sebe kao podrazumevanu aplikaciju za primanje i pregled SMS poruka. Ovo omogućava napadačima da vide sve SMS poruke, uključujući i kodove za potvrdu za poslovanje bankarskom karticom, kao i da pošalju SMS poruke na druge brojeve za dalje širenje.
Glavne funkcije malvera uključuju:
– Krađu kredencijala bankovnih kartica prikazivanjem lažnog ekrana Google Play prodavnice i slanjem zahteva žrtvi da unese informacije o platnoj kartici. On takođe obavlja osnovnu proveru da bi se osigurala tačnost podataka, kao što je brojanje unetih cifara za karticu.
– Krađu kredencijala bankovnog računa prikazivanjem ekrana koji oponaša bankovnu aplikaciju ili otvaranjem fišing stranice u pretraživaču
– Skrivanje aktivnosti i postavki drugih aplikacija, kao što su bezbednosna rešenja ili postavke posvećene bezbednosti uređaja
– Skrivanje notifikacija legitimnih bankarskih aplikacija
Stručnjaci kompanije Kaspersky su do sada otkrili oko 4.000 korisnika pogođenih ovim malverom, uglavnom u Rusiji, ali i u Italiji, Francuskoj i Velikoj Britaniji.
„Posmatrali smo kako se malver Riltok distribuira polako, ali sigurno, širom Rusije i očekujemo porast napada jer sajber kriminalci koji stoje iza ove pretnje proširuju svoj domet na nove zemlje i kontinente, počevši od Evrope. Primetili smo ovaj scenario mnogo puta ranije; naše iskustvo pokazuje da, kada akteri pretnje kreiraju uspešan malver i testiraju ga u Rusiji, oni ga prilagođavaju stranim žrtvama i istražuju nove teritorije. Obično se takve pretnje šire globalno” – rekla je Tatjana Šiškova (Tatyana Shishkova), istraživač bezbednosti u kompaniji Kaspersky.
Proizvodi kompanije Kaspersky detektuju pretnju kao „Trojan-Banker.AndroidOS.Riltok”.
Kako biste se zaštitili od finansijskih malvera, uključujući trojanca Riltok, stručnjaci za bezbednost kompanije Kaspersky savetuju da:
- Ne pristupajte sumnjivim linkovima u SMS porukama
- Blokirate instalaciju programa nepoznatih izvora i instalirate samo aplikacije iz zvaničnih prodavnica aplikacija
- Uvek obratite pažnju na dozvole koje aplikacija zahteva. Ukoliko dozvola ne odgovara funkciji aplikacije, a ipak treba da bude uključena, bolje ne koristite tu aplikaciju.
- Koristite snažno bezbednosno rešenje da se zaštitite od malicioznog softvera i njegovih aktivnosti. Na primer, besplatna verzija Kaspersky Internet Security for Android vam može pomoći da izbegnete takve neprijatne situacije.