On Thu, 22 Feb 2018 23:24:51 +0100, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

opis nieco chaotyczny ... ale czy ja dobrze rozumiem, ze aplikacja
mbanku zostala mocno zhackowana ?

Nie.

Czy atak byl przez strone internetowa ?

Tak.

--
Marek

Date: Fri, 23 Feb 2018 00:28:12
From: Marek

On Thu, 22 Feb 2018 23:24:51 +0100, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

opis nieco chaotyczny ... ale czy ja dobrze rozumiem, ze aplikacja
mbanku zostala mocno zhackowana ?

Nie.

Czy atak byl przez strone internetowa ?

Tak.

Nie. Przez złośliwą aplikację do monitorowania kursów kryptowalut,
która okazała się trojanem i miała pełne uprawnienia do smartfona.

Pozdrawiam,
Dominik
--
Fedora   https://getfedora.org  |  RPMFusion   http://rpmfusion.org
There should be a science of discontent. People need hard times and
oppression to develop psychic muscles.
        -- from "Collected Sayings of Muad'Dib" by the Princess Irulan

Dnia Thu, 22 Feb 2018 23:42:56 +0000 (UTC), Dominik 'Rathann'
Mierzejewski napisał(a):

Date: Fri, 23 Feb 2018 00:28:12 From: Marek

On Thu, 22 Feb 2018 23:24:51 +0100, "J.F."

opis nieco chaotyczny ... ale czy ja dobrze rozumiem, ze aplikacja
mbanku zostala mocno zhackowana ?

Nie.

Czy atak byl przez strone internetowa ?

Tak.

Nie. Przez złośliwą aplikację do monitorowania kursów kryptowalut,
która okazała się trojanem i miała pełne uprawnienia do smartfona.

Jakos jednak szybko sie zorientowala, ze pieniadze wplynely
(ok, mogl miec powiadomienia sms), potrafila tez zdobyc login i haslo
do strony ... no, niewiele sie na tych smartfonach pisze, to moze
latwo odszukac haslo.

J.

W dniu 2018-02-23 o 00:51, J.F. pisze:

Jakos jednak szybko sie zorientowala, ze pieniadze wplynely
(ok, mogl miec powiadomienia sms), potrafila tez zdobyc login i haslo
do strony ... no, niewiele sie na tych smartfonach pisze, to moze
latwo odszukac haslo.

Może zamiast przeglądać historię wszystkich naciśnięć klawiszy wystarczy wyłapać moment logowania.
P.G.

Dominik 'Rathann' Mierzejewski <_wstaw_nick_@greysector.net> writes:

Nie. Przez złośliwą aplikację do monitorowania kursów kryptowalut,
która okazała się trojanem i miała pełne uprawnienia do smartfona.

Tzn. zrootowała go?
Skąd wzięła login i hasło do mBanku?

Mogła oddczytać SMS, owszem - dlatego nie powinno się używać haseł SMS
w połączeniu z telefonem, na którym uruchamiamy podejrzane
oprogramowanie (inna sprawa - które nie jest podejrzane).
--
Krzysztof Hałasa

Imho instalowanie w telefonie aplikacji do obslugi konta bankowego to proszenie sie o klopoty. No i zlamanie wszelkich zasad bezpieczenstwa. Bo jakim zabezpieczeniem jest haslo sms-owe, ktore przychodzi na ten sam telefon? A apki chyba nie maja zabezpieczen, ktore blokowalyby wysylanie sms-a na ten sam telefon.

Pzdr

On 2018-02-23, miumiu <aac@bbd.pl> wrote:

[...]

jakim zabezpieczeniem jest haslo sms-owe, ktore przychodzi na ten sam telefon? A apki chyba nie maja zabezpieczen, ktore blokowalyby wysylanie sms-a na ten sam telefon.

Ale aplikacja bankowa mBanku nie wysyła kodów SMS w przypadku
używania aplikacji.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Użytkownik "Wojciech Bancer"  napisał w wiadomości grup dyskusyjnych:slrnp8vkk2.18a4.wojciech.bancer@pl-test.org...
On 2018-02-23, miumiu <aac@bbd.pl> wrote:
[...]

jakim zabezpieczeniem jest haslo sms-owe, ktore przychodzi na ten sam
telefon? A apki chyba nie maja zabezpieczen, ktore blokowalyby wysylanie
sms-a na ten sam telefon.

Ale aplikacja bankowa mBanku nie wysyła kodów SMS w przypadku
używania aplikacji.

A mozliwosc zdalnego sterowania aplikacja jest ?
Tzn na poziomie Androida - czy zlosliwy program moze uruchomic aplikacje, zasymulowac klikniecia we wlasciwe punkty i wpisanie hasla ?

J.

"Wojciech Bancer" slrnp8vkk2.18a4.wojciech.bancer@pl-test.org

jakim zabezpieczeniem jest haslo sms-owe, ktore przychodzi na ten sam
telefon? A apki chyba nie maja zabezpieczen, ktore blokowalyby wysylanie
sms-a na ten sam telefon.

Ale aplikacja bankowa mBanku nie wysyła kodów SMS w przypadku
używania aplikacji.

A czyje aplikacje wysyłają SMSy? Ja chyba takich nie poznałem.

--
 _._     _,-'""`-._      .`'.-.         ._.    http://eneuel.w.duna.pl    .-.     )\._.,-- ....,'``.
(,-.`._,'(       |\`-/|  .'O`-'     ., ; o.' danutac.oferty-kredytowe.pl '.O_'   /,   _.. \   _\  (`._ ,.
    `-.-' \ )-`( , o o)  `-:`-'.'.  '`\.'`.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,  `._.-(,_..'-- (,_..'`-.;.'  Felix Lee
-bf-      `-    \`_`"'-.o'\:/.d`|'.;. p \ ;'. .  . ;,,. ; . ,.. ; ;. . ..;\|/.......................................

W dniu 2018-02-23 o 01:12, Krzysztof Halasa pisze:

Dominik 'Rathann' Mierzejewski <_wstaw_nick_@greysector.net> writes:

Nie. Przez złośliwą aplikację do monitorowania kursów kryptowalut,
która okazała się trojanem i miała pełne uprawnienia do smartfona.

Tzn. zrootowała go?
Skąd wzięła login i hasło do mBanku?

Jeżeli ktoś się z telefonu loguje do banku (chyba wszystko jedno, czy przez specjalną aplikację (nie wiem jak to wygląda), czy przez przeglądarkę (tu wiem, że się normalnie wpisze login i hasło)) to złośliwa aplikacja działająca cały czas na telefonie nie powinna mieć problemu ze znalezieniem loginu i hasła.
P.G.

W dniu 23.02.2018 o 08:43, Piotr Gałka pisze:

Jeżeli ktoś się z telefonu loguje do banku (chyba wszystko jedno, czy przez specjalną aplikację (nie wiem jak to wygląda), czy przez przeglądarkę (tu wiem, że się normalnie wpisze login i hasło)) to złośliwa aplikacja działająca cały czas na telefonie nie powinna mieć problemu ze znalezieniem loginu i hasła.

To znaczy jak to zrobi na niezrootowanym telefonie? Nie ma w androidzie uprawnienia 'podsłuchuj wpisywanie danych do innej aplikacji' ani 'podrzucaj innej aplikacji swoje dane symulując klikanie'.

   MJ

Użytkownik "Michał Jankowski"  napisał w wiadomości grup dyskusyjnych:5a900fc0$0$675$65785112@news.neostrada.pl...
W dniu 23.02.2018 o 08:43, Piotr Gałka pisze:

Jeżeli ktoś się z telefonu loguje do banku (chyba wszystko jedno, czy przez specjalną aplikację (nie wiem jak to wygląda), czy przez przeglądarkę (tu wiem, że się normalnie wpisze login i hasło)) to złośliwa aplikacja działająca cały czas na telefonie nie powinna mieć problemu ze znalezieniem loginu i hasła.

To znaczy jak to zrobi na niezrootowanym telefonie? Nie ma w androidzie uprawnienia 'podsłuchuj wpisywanie danych do innej aplikacji' ani 'podrzucaj innej aplikacji swoje dane symulując klikanie'.

Jest Teamviewer, ale prawde mowiac ostatnio jak probowalem, to akurat telefonem sterowac nie potrafil, czy wymagal ekstra licencji.

Ale teraz ponoc potrafi

https://play.google.com/store/search?q=teamviewer

J.

W dniu 23.02.2018 o 14:07, J.F. pisze:

Jest Teamviewer, ale prawde mowiac ostatnio jak probowalem, to akurat telefonem sterowac nie potrafil, czy wymagal ekstra licencji.

Ale teraz ponoc potrafi

https://play.google.com/store/search?q=teamviewer

J.

Aha. No to strach się bać.

   MJ

W dniu 2018-02-23 o 13:57, Michał Jankowski pisze:

Jeżeli ktoś się z telefonu loguje do banku (chyba wszystko jedno, czy przez specjalną aplikację (nie wiem jak to wygląda), czy przez przeglądarkę (tu wiem, że się normalnie wpisze login i hasło)) to złośliwa aplikacja działająca cały czas na telefonie nie powinna mieć problemu ze znalezieniem loginu i hasła.

To znaczy jak to zrobi na niezrootowanym telefonie? Nie ma w androidzie uprawnienia 'podsłuchuj wpisywanie danych do innej aplikacji' ani 'podrzucaj innej aplikacji swoje dane symulując klikanie'.

Za mało się znam. Nie wiem nawet co to znaczy zrootowany.
Ja rozumuję tak. Jeśli aplikacja ma dostęp do wszystkiego to może wszystko. Ale faktycznie coś mi się kiedyś obiło, że systemy operacyjne potrafią pilnować aby jedna aplikacja nie mogła wpływać na drugą. Nie wiem jak to działa (moja wyobraźnia nie wyszła poza 8-bitowce).
P.G.

Dnia Fri, 23 Feb 2018 17:02:39 +0100, Piotr Gałka napisał(a):

W dniu 2018-02-23 o 13:57, Michał Jankowski pisze:

To znaczy jak to zrobi na niezrootowanym telefonie? Nie ma w androidzie uprawnienia 'podsłuchuj wpisywanie danych do innej aplikacji' ani 'podrzucaj innej aplikacji swoje dane symulując klikanie'.

A nie ma "zobacz jakie klawisze nacisnieto" ?

Za mało się znam. Nie wiem nawet co to znaczy zrootowany.
Ja rozumuję tak. Jeśli aplikacja ma dostęp do wszystkiego to może wszystko. Ale faktycznie coś mi się kiedyś obiło, że systemy operacyjne potrafią pilnować aby jedna aplikacja nie mogła wpływać na drugą. Nie wiem jak to działa (moja wyobraźnia nie wyszła poza 8-bitowce).

W Androidzie jest java - aplikacja moze tylko tyle, co dla niej
procesor wirtualny wykona.

Co prawda widze tez jakies "natywne aplikacje" i nie wiem o co chodzi.

J.

"J.F." tzhnr2a1bn5b$.my3jbcr2xh5x.dlg@40tude.net

W Androidzie jest java - aplikacja moze tylko
tyle, co dla niej procesor wirtualny wykona.

Nie bajeruj -- są wspólne miejsca, choćby
mikroSD czy jakieś kesze. Ponadto są błędy,
choćby słynne przepełnienie bufora, które
niekoniecznie skutkuje obronną reakcją systemu.

Nie bez powodu ludzie zgrzytająco reagują na
dostępowe żądania aplikacji. (uprawnienia do:
zdjęć, ekranu, camerki, mikrofonu, SMSów itd...)

--
 _._     _,-'""`-._      .`'.-.         ._.    http://eneuel.w.duna.pl    .-.     )\._.,-- ....,'``.
(,-.`._,'(       |\`-/|  .'O`-'     ., ; o.' danutac.oferty-kredytowe.pl '.O_'   /,   _.. \   _\  (`._ ,.
    `-.-' \ )-`( , o o)  `-:`-'.'.  '`\.'`.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,  `._.-(,_..'-- (,_..'`-.;.'  Felix Lee
-bf-      `-    \`_`"'-.o'\:/.d`|'.;. p \ ;'. .  . ;,,. ; . ,.. ; ;. . ..;\|/.......................................

On Fri, 23 Feb 2018 08:43:29 +0100, Piotr Gałka<piotr.galka@cutthismicromade.pl> wrote:

Jeżeli ktoś się z telefonu loguje do banku (chyba wszystko jedno, czy przez specjalną aplikację (nie wiem jak to wygląda), czy przez przeglądarkę (tu wiem, że się normalnie wpisze login i hasło)) to złośliwa aplikacja działająca cały czas na telefonie nie powinna mieć problemu ze znalezieniem loginu i hasła.

To był działa inaczej, złośliwa aplikacja wyświetla fałszywe powiadomienia "z banku" (np. z aplikacji mBanku), user klika w powiadomienie i jest wtedy przekierowywany  do fałszywej strony banku, gdzie podaje swoje login i hasło. podstawia podrobioną stronę do zalogowania do banku.

--
Marek

On 2018-02-23, Krzysztof Halasa <khc@pm.waw.pl> wrote:

[...]

Mogła oddczytać SMS, owszem - dlatego nie powinno się używać haseł SMS
w połączeniu z telefonem, na którym uruchamiamy podejrzane
oprogramowanie (inna sprawa - które nie jest podejrzane).

Ja tylko zauważam, że w mBanku operacje wykonywane aplikacją bankową
w telefonie nie są autoryzowane SMSami.

Więc jeśli atakujący odczytał SMS to na skutek operacji dokonanej
na interfejsie webowym.

--
Wojciech Bańcer
wojciech.bancer@gmail.com

Użytkownik "Wojciech Bancer"  napisał w wiadomości grup dyskusyjnych:slrnp8vkhu.18a4.wojciech.bancer@pl-test.org...
On 2018-02-23, Krzysztof Halasa <khc@pm.waw.pl> wrote:

Mogła oddczytać SMS, owszem - dlatego nie powinno się używać haseł SMS
w połączeniu z telefonem, na którym uruchamiamy podejrzane
oprogramowanie (inna sprawa - które nie jest podejrzane).

Ja tylko zauważam, że w mBanku operacje wykonywane aplikacją bankową
w telefonie nie są autoryzowane SMSami.
Więc jeśli atakujący odczytał SMS to na skutek operacji dokonanej
na interfejsie webowym.

"bowiem jedna z nich była również... typowym koniem trojańskim, który prosił o nadzwyczajnie duże uprawnienia posiadacza urządzenia i ,,nasłuchiwał" aplikacje bankowe w poszukiwaniu potrzebnych do wykonania ataku danych. "

"Cyberprzestępcy mając takie uprawnienia, jakie zostają nadane aplikacji mogli nie tylko analizować aplikacje bankowe (nawet pod kątem sald kont, które były do nich przypisane), ale również korzystać z mikrofonu oraz kamer. "

Ze dwa razy sie tam pisze wprost o aplikacji, ale to moze byc zwykle przeklamanie.
No i nie pisza, ze aplikacji uzyto do przelewu.
Mogla byc droga mieszana - troche w aplikacji, a troche przez przegladarke ... czy w ogole samodzielnie przez program, choc obecnie musialby sie chyba przedrzec przez te wszystkie javascripty.

W aplikacji mbanku nie podaje sie nr klienta ... chyba, ze trojan podsluchal przy instalacji.
A haslo jest inne niz do strony www.

Zastanawia mnie jednak szybkosc, z jaka trojan wylapal pieniadze na koncie ... a moze po prostu czuwal nad przegladarką ?

J.










--
Wojciech Bańcer
wojciech.bancer@gmail.com

On Thu, 22 Feb 2018 23:42:56 +0000 (UTC), Dominik 'Rathann' Mierzejewski <_wstaw_nick_@greysector.net> wrote:

Nie. Przez złośliwą aplikację do monitorowania kursów kryptowalut,
która okazała się trojanem i miała pełne uprawnienia do smartfona.

Nie, aplikacja tylko służyła jako źródło danych do zalogowania i tanu..

--
Marek