Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.
06:15

Masz Androida? Uważaj na SMS-y o blokadzie telefonu z powodu RODO

Wreszcie jakiś kreatywny atak, a nie tylko “bony z Biedronki“. Jeden z naszych Czytelników otrzymał wczoraj SMS-a z numeru INFO, w którym ktoś podszywając się pod “Operatora” (w domyśle GSM) informuje o konieczności zainstalowania certyfikatu “LTE 5+” …ze względu na wejście w życie ustawy RODO.

W zycie weszla nowa ustawa RODO. Masz 2 dni na zainstalowanie certyfikatu LTE 5+. W przypadku braku wgrania certyfikatu wszystkie polaczenia przycodzace (sic!), wychodzace jak i internet zostana zablokowane. Instrukcja w linku: http://vrte462[.]com/nieblokuj/
Operator

Po wejściu na stronę, ofiara przez widzi taką instrukcję:

…ale nie zdąży się z nią zapoznać, bo sekundę później strona automatycznie próbuje pobrać na telefon złośliwą aplikację na Androida o nazwie app.apk (MD5: 5263eca3921fb2fdf09401774968666d)

Złośliwa aplikacja prosi podczas instalacji m.in. o takie, niepokojące uprawnienia jak:

    Możliwość lokalizacji
    Odczytywanie kontaktów
    Tworzenie i wysyłanie SMS-ów
    Tworzenie i odczytywanie plików na urządzeniu
    Dostęp do poczty głosowe
    Możliwość wykonywania połączeń telefonicznych

I miejmy nadzieję, że prośba o takie uprawnienia wyda się każdemu podejrzana i zniechęci do instalacji. Na szczęście szczęście o godz. 8:00 dziś aplikacja jest już rozpoznawana jako złośliwa przez 27/60 antywirusów.

Ciekawy to atak, ale…

W tej kampanii jest kilka ciekawostek:

1. Jest to pierwszy atak nakłaniający do złego pod pretekstem wchodzącej w życie ustawy RODO. Każdy o niej słyszał, każdy się jej boi, prawie nikt jej nie rozumie. A więc jest to idealnie enigmatyczny pretekst do wymuszania “działań”. Zwłaszcza, że na skrzynki Polaków od początku maja spływa masa regulaminów, które trzeba potwierdzić bo inaczej zablokują konto (por. Wyraź zgodę albo skasujemy ci konto) albo każą płacić. Przestępca co prawda pisze, że ustawa już weszła, więc tym zdaniem pewnie ochroni prawników i informatyków przed infekcją.

2.Atak dotyczy tylko Androida. I w zasadzie tylko tych jego naiwnych użytkowników, którzy zastosują się do instrukcji zezwolenia na instalowanie aplikacji z nieznanych źródeł. Nigdy tego nie róbcie. Czym to grozi opisaliśmy w tekście Jak przestępcy ukradli 10 000 PLN miłośnikowi kryptowalut przez mobilną aplikację.

Znów wychodzi na to, że korzystanie z iPhone (i Google Chrome) jest najbezpieczniejsze dla przeciętnego użytkownika pod kątem ryzyka infekcji złośliwym oprogramowaniem. Na iPhonie w zasadzie nie da się zainstalować złośliwej aplikacji. Aplikacje wgrywane do sklepu Apple (w zasadzie jedyna droga instalacji dla zwykłego użytkownika) przechodzą o wiele dokładniejszą weryfikację niż aplikacje wgrywane do sklepu Google.

3. Atak ma niższą skuteczność niż mógłby mieć przez automatyczne wywoływanie pobierania aplikacji po wejściu na stronę. Ofiara nie zdąży się zapoznać z treścią instrukcji jak zainstalować “certyfikat”. To miły gest przestępcy. W dodatku wersja “desktopowa” przeglądarki Chrome już blokuje plik .apk jako złośliwy (co ciekawe, wersja mobilna nie).

4. Za atakiem stoją Polacy? Atak jest przygotowany prawie idealnym językiem polskim, ale w kodzie strony pozostało kilka błędów wskazujących na poprzednie kampanie, m.in. odwołanie do domeny dpplatnosc[.]pl wykorzystywanej do oszustw na “lewego Dotpay’a“, które ostatnio w unowocześnionej wersji są znów aktywne na OLX w wariancie “na kuriera”.

5. Znów akcja na weekend. Pierwsze ślady złośliwego pliku jakie udało nam się namierzyć pochodzą z wczoraj (11 maja 2018, z godz. 16.00), a więc już standardowo, złośliwa kampania została odpalona na weekend. Obniża to skuteczność na telefonach firmowych, ale utrudnia analizę i “odkręcenie” oszustw, które zostaną wykonane w trakcie weekendu. Infolinie banków i operatorów nie pracują tak sprawnie, jak mogłyby i ofiary z reguły mają mniejsza możliwość działania. Zwłaszcza, że zbliża się niedziela “niehandlowa”.

Jak bezpiecznie korzystać ze smartfona?

Na koniec przypomnijmy “ABC” bezpiecznego korzystania ze smartfona, które pasują do tej kampanii i które powtarzamy na naszych wykładach pt. “Jak nie dać się zhackować?

  • Nie zezwalaj na instalacje aplikacji spoza zaufanych źródeł
  • Zawsze przeglądaj uprawnienia o jakie prosi aplikacja. Jeśli coś jest podejrzane (np. dostęp do SMS-ów przez latarkę, albo do lokalizacji przez kalkulator), nie instaluj aplikacji
  • Jeśli nie masz wiedzy technicznej i 1300 złotych, to kup sobie iPhona i miej święty spokój. Wytrzyma dłużej niż tanie Androidy, a jest znacznie bezpieczniejszy

Jeśli chciałbyś poznać więcej rad i sposób w jaki przestępcy próbują okradać/infekować Polaków, to zapraszamy na nasze wykłady w przyszłym tygodniu w największych polskich miastach:

Dowiedz się jak poprawnie❗zabezpieczyć swoje dane przed hackerami i jak bezpiecznie używać internetu (na smartfonie i komputerze) do 💶 bankowości oraz 🛍zakupów online. Przyjdź na nasz wykład a pokażemy Ci najpopularniejsze ataki, jakie czyhają na Polaków i nauczymy Cię jak się przed nimi ochronić. Wiedzę przekazujemy z humorem i językiem zrozumiałym dla każdego. Aby się zarejestrować i przeczytać opinie tych, którzy już byli na tym wykładzie, kliknij tutaj!

Najbliższe terminy wykładu:

IOC dla tej kampanii

Domena:
vrte462.com (IP: 206.189.118.234 - DigitalOcean)
Registry Domain ID: 2261722704_DOMAIN_COM-VRSN
Creation Date: 2018-05-09T19:23:23Z
Name Server: DNS1.BACLOUD.COM
Name Server: DNS1.LAISVAS.LT
Name Server: DNS2.BACLOUD.COM
Name Server: DNS2.LAISVAS.LT

Malware:
app.apk
MD5: 5263eca3921fb2fdf09401774968666d

Jak wynika z analizy w sandboksie, próbuje łączyć się z URL: https://sdsdsdsdaas[.]tk/wouldthrough/.

Przeczytaj także:

<!-- Similar Posts took 8.469 ms -->

Don't be the product, buy the product!

Schweinderl