Cyberprzestępcy ponownie wzięli na celownik właścicieli telefonów w Polsce. Eksperci ds. cyberbezpieczeństwa biją na alarm w związku z powrotem niezwykle groźnego złośliwego oprogramowania, które potrafi przejąć pełną kontrolę nad telefonem, wykraść dane logowania do bankowości mobilnej i w konsekwencji opróżnić konto ofiary. Mowa o wirusie znanym jako ToxicPanda, który podszywa się pod popularne aplikacje i aktualizacje systemowe, aby zainfekować urządzenia z systemem Android. Zagrożenie jest realne i dotyczy setek tysięcy Polaków, zwłaszcza użytkowników popularnych modeli telefonów. Infekcja jest trudna do wykrycia i jeszcze trudniejsza do usunięcia, ponieważ malware aktywnie blokuje standardowe metody odinstalowywania. Wiedza o jego działaniu i metodach ochrony jest kluczowa, aby nie stracić oszczędności życia.
Czym jest ToxicPanda i dlaczego jest tak niebezpieczny?
ToxicPanda to zaawansowany trojan bankowy, który po raz pierwszy został zidentyfikowany przez analityków bezpieczeństwa w 2022 roku. Po okresie mniejszej aktywności, w ostatnich miesiącach powrócił ze zdwojoną siłą, a jego celem stali się użytkownicy w Europie, w tym w Polsce. Jego głównym zadaniem jest kradzież danych uwierzytelniających do aplikacji bankowych oraz przechwytywanie jednorazowych kodów autoryzacyjnych, co otwiera cyberprzestępcom prostą drogę do pieniędzy ofiary.
Niebezpieczeństwo tego malware polega na jego wyrafinowanym mechanizmie działania. W przeciwieństwie do prostszych wirusów, ToxicPanda nie ogranicza się do wyświetlania reklam czy spowalniania telefonu. Po zainfekowaniu urządzenia, dąży do uzyskania uprawnień do tzw. funkcji ułatwień dostępu (Accessibility Services) w systemie Android. Są to zaawansowane uprawnienia, które pozwalają aplikacji na symulowanie działań użytkownika, odczytywanie zawartości ekranu i przejmowanie kontroli nad interfejsem. W rękach cyberprzestępców staje się to potężnym narzędziem do omijania zabezpieczeń, w tym choćby weryfikacji dwuetapowej.
Konsekwencje infekcji mogą być katastrofalne. Ofiary mogą stracić nie tylko bieżące środki na koncie, ale również stać się celem kradzieży tożsamości. Przestępcy, mając dostęp do danych osobowych, mogą zaciągać pożyczki lub popełniać inne oszustwa w imieniu poszkodowanego. Dlatego tak ważne jest zrozumienie, jak dochodzi do infekcji i jak się przed nią chronić.
Jak działa wirus? Poznaj mechanizm ataku krok po kroku
Scenariusz ataku z użyciem ToxicPanda jest zwykle starannie zaplanowany. Przestępcy wykorzystują socjotechnikę, aby nakłonić użytkownika do samodzielnej instalacji złośliwego oprogramowania. Najczęściej wirus rozprzestrzenia się poprzez fałszywe strony internetowe, które do złudzenia przypominają oficjalne witryny znanych firm lub usług. Użytkownik może trafić na taką stronę poprzez spreparowany link w wiadomości SMS, e-mailu lub reklamie w mediach społecznościowych.
Na fałszywej stronie ofiara jest informowana o konieczności pobrania pilnej aktualizacji, na przykład dla przeglądarki Google Chrome lub innej popularnej aplikacji. Pobierany plik APK jest w rzeczywistości nośnikiem trojana ToxicPanda. Po instalacji aplikacja prosi o przyznanie jej szerokich uprawnień, w tym kluczowych uprawnień do ułatwień dostępu. Wielu użytkowników, przyzwyczajonych do akceptowania zgód, nieświadomie daje przestępcom pełną kontrolę nad urządzeniem.
Gdy ToxicPanda uzyska niezbędne uprawnienia, może:
- Przejąć pełną kontrolę nad telefonem, symulując dotknięcia ekranu i wprowadzanie tekstu.
- Rejestrować wszystko, co użytkownik wpisuje na klawiaturze (tzw. keylogging), w tym loginy, hasła i numery kart kredytowych.
- Wyświetlać fałszywe ekrany logowania (nakładki) na prawdziwych aplikacjach bankowych, aby przechwycić dane.
- Przechwytywać przychodzące wiadomości SMS, w tym jednorazowe kody autoryzacyjne z banków, skutecznie omijając weryfikację dwuetapową.
- Ukrywać swoją obecność i blokować próby odinstalowania.
Zgromadzone w ten sposób dane są natychmiast przesyłane na serwery kontrolowane przez przestępców, którzy mogą zalogować się na konto bankowe ofiary i dokonać kradzieży środków.
Które telefony są najbardziej narażone? Sprawdź, czy jesteś w grupie ryzyka
Analizy ekspertów ds. cyberbezpieczeństwa wskazują, iż twórcy ToxicPanda koncentrują swoje ataki na konkretnych grupach urządzeń. Nie jest to przypadek. Celują w najpopularniejsze, a jednocześnie często tańsze serie telefonów, które posiadają ogromną bazę użytkowników. Im więcej osób korzysta z danego modelu, tym większa szansa na powodzenie ataku na masową skalę.
W grupie podwyższonego ryzyka znajdują się przede wszystkim właściciele telefonów z następujących serii:
- Samsung Galaxy A (np. A52, A32, A13)
- Xiaomi Redmi (np. Redmi Note 11, Redmi 9, Redmi 10)
- Oppo A (np. Oppo A16, Oppo A54)
Posiadanie telefonu z jednej z tych serii nie oznacza automatycznie, iż urządzenie jest zainfekowane. Świadczy to jednak o tym, iż jego użytkownicy powinni zachować szczególną czujność. Popularność tych modeli sprawia, iż przestępcy często optymalizują swoje złośliwe oprogramowanie właśnie pod kątem ich systemu i specyfikacji, co zwiększa skuteczność ataku. Należy pamiętać, iż wirus może potencjalnie zainfekować każdy telefon z systemem Android, jeżeli użytkownik nie będzie przestrzegał podstawowych zasad bezpieczeństwa.
Jak usunąć ToxicPanda? To trudniejsze niż myślisz
Jednym z największych wyzwań związanych z ToxicPanda jest jego usunięcie. Trojan został zaprojektowany tak, aby aktywnie chronić się przed odinstalowaniem. Po uzyskaniu uprawnień administratora urządzenia lub dostępu do funkcji ułatwień, blokuje on możliwość wejścia do ustawień aplikacji i skorzystania z opcji „Odinstaluj”. Próby wyłączenia przyznanych mu uprawnień również kończą się niepowodzeniem.
Standardowe metody, takie jak przeskanowanie telefonu programem antywirusowym, mogą nie wystarczyć, jeżeli wirus głęboko zagnieździł się w systemie. W takiej sytuacji jedynym skutecznym, choć technicznym, rozwiązaniem jest ręczne usunięcie aplikacji dzięki komputera i narzędzia Android Debug Bridge (ADB). Jest to metoda przeznaczona dla zaawansowanych użytkowników.
Aby usunąć wirusa dzięki ADB, należy:
- Zainstalować na komputerze narzędzia ADB.
- Włączyć na telefonie tryb deweloperski i opcję debugowania USB.
- Podłączyć telefon do komputera dzięki kabla USB i autoryzować połączenie.
- Otworzyć na komputerze terminal (wiersz poleceń) i wpisać następujące komendy, aby zatrzymać i odinstalować złośliwą aplikację (nazwa pakietu „com.example.mysoul” jest przykładowa):
adb shell am force-stop com.example.mysoul
adb uninstall com.example.mysoul
UWAGA: jeżeli nie masz doświadczenia w korzystaniu z ADB, nie próbuj tej metody samodzielnie. Nieprawidłowe użycie komend może doprowadzić do uszkodzenia systemu telefonu. W takim przypadku najbezpieczniejszym rozwiązaniem jest skontaktowanie się z profesjonalnym serwisem GSM, który usunie wirusa w bezpieczny sposób. W ostateczności konieczne może być przywrócenie telefonu do ustawień fabrycznych, co wiąże się z utratą wszystkich danych.
Read more:
Groźny wirus atakuje telefony Polaków. Eksperci ostrzegają, może wyczyścić konto!
![Uszkodziła trzy osobówki i latarnię. Policja wie, kim jest sprawczyni kolizji [NOWE FAKTY]](https://storage.googleapis.com/patrykslezak-pbem/tulodz/articles/image/cfe1944b-5d7e-4202-ba07-7bd440f548de)