11:35
17/7/2018

Na horyzoncie pojawiła się ciekawa kampania nakłaniająca Polaków do instalacji złośliwego oprogramowania na telefonach z Androidem. Ofiary otrzymują SMS-y o następującej treści:

Prosimy o aktualizacje sterownika LTE.
Brak instalacji spowoduje problemy z zasiegiem.
Instrukcja pod adresem:
http://aktualizacja-lte5[.]pl/

Do niektórych ofiar przestępcy mają również dzwonić z numeru 573950250. Jak pisze nam jeden z Czytelników:

Dzwonią do ludzi, których prywatne numery prawdopodobnie wyciekły od operatora (przedstawiają się że T-Mobile potem PlusGSM). Dane mają nie pełne bo zwracali się do mojej znajomej po drugim imieniu.

To zachęcanie SMS-ami i rozmowami ma na celu jedno. Ofiara ma odwiedzić stronę, z której powinna pobrać “sterownik do LTE 5.0”. Oto jak wygląda strona:

Atak polega więc na pobraniu pliku i zainstalowaniu aplikacji na Androida (pliku .apk, SHA256: 76d0ce5553c43e180f327fa5142b47b61d38c85888521763b0cbf86a46895521) po uprzednim zrobieniu najgłupszej z możliwych na Androidzie rzeczy — zezwoleniu na instalację aplikacji z znieznanych źródeł. Po instalacji aplikacji, telefon zostanie zainfekowany złośliwym oprogramowaniem, które w chwili pisania tego artykułu jest już rozpoznawane przez 16 antywirusów i które może odczytywać i wysyłać SMS-y z telefonu ofiary, ale również rejestruje dostęp do innych uprawnień:

Czym grożą takie uprawnienia? Opisywaliśmy to w tekście pt. Jak przestępcy ukradli 10 000 PLN miłośnikowi kryptowalut za pomocą aplikacji mobilnej. Na marginesie warto wspomnieć, że podobny wektor ataku zadziała też na osobach z iPhonem (choć wymaga on więcej zabawy i jest bardziej ograniczony w swojej “destrukcyjności” — por. Sprytny atak na właścicieli iPhonów (zadziała też na właścicieli Macbooków))

Co ciekawe, osoby niekorzystające z Androida zobaczą taki komunikat:

Domena aktualizacja-lte5[.]pl została kupiona zaledwie wczoraj i …choć przez osobę prywatną, to nie poznamy już jej danych (#boRODO):

Serwer, podobnie jak domena, został założony w home.pl i pomimo zgłoszenia do abuse, wciaż działa (razem z domeną).

aktualizacja-lte5[.]pl has address 46.242.238.128
128.238.242.46.in-addr.arpa domain name pointer cloudserver3183129-3183160.home.pl.

W źródle HTML widać kilka ciekawostek, w tym ślady użytkownika o nazwie “pc”:

Oraz link do pliku 2.txt, w którym znajduje się liczba:

Idąc tym tropem można dojść do umieszczonego na serwerze adresu:

185.167.162.245 (185.167.162.245.deltahost-ptr.)

Którego odwiedzenie ujawnia kolejny wariant scamu, także wykierowanego w Polaków:

Treść sugeruje, że na tę stronę przestępca odsyła ofiary po linkach z e-maili, które mają sugerować, że ktoś uzyskał nieautoryzowany dostęp do ich skrzynki e-mail. Link tym razem prowadzi nawet do oficjalnego Sklepu Google (który jak wiadomo, niestety, jest pełen złośliwego oprogramowania) — ale aplikacja, która udawała aplikację do “czyszczenia telefonu” na szczęście nie jest już dostępna:

Na koniec przypomnijmy, że bardzo podobny atak, którego “nośnikiem” było wprowadzenie RODO opisywaliśmy w maju tego roku (por. Masz Androida? Uważaj na SMS-y o blokadzie telefonu z powodu RODO). Wiele wskazuje, że za tym atakiem kryje się ta sama osoba.


Aktualizacja 19.07.2018, 18:13
Udało nam się zdobyć relację z pierwszej ręki z rozmowy z ofiarą:

Zadzwonił do mnie wczoraj mężczyzna imienia niestety nie pamiętam, za pierwszym razem przedstawił sie że dzwoni z sieci T-mobile i podał moje drugie imię zamiast pierwszego oraz nazwisko. Zwróciłam mu uwagę że nie mam tak na imię oraz w sprawie jakiego numeru telefonu dzwoni. Podał prawidłowy nr. Zanim zdążyłam powiedzieć że nie
jestem w T-mobile przeprosił za pomyłkę i powiedział że jest z Plusa, po czym zaczął mówić ze dzwoni z serwisu w celu poinformowania mnie, iż korzystam z starych nadajników i w wkrótce nie będę mogła połączyć sie telefonicznie z nikim, ani też nikt sie do mnie nie dodzwoni, gdyż nie będę miała zasięgu. Informował mnie o sms który przyjdzie do mnie za 10 minut, w którym to będzie podana strona internetowa oraz informacje jak skonfigurować i zainstalować nowy system tak aby moc skorzystać z
nowych nadajników.

Pierwszego smsa z strona www otrzymałam jeszcze jakąś godzinę wcześniej, przed rozmową ale nie reagowałam na niego. Po rozmowie faktycznie otrzymałam smsa, z takiego samego numeru, oczywiście ze strona www. Sprawdziłam co kryje sia pod ta strona, po czym tam pisze:

Zezwolenie na korzystanie innych sieci z twojego telefonu (dokładnie nie pamiętam sformułowania) po zainstalowaniu wszystkie mms-y są płatne – a ja w umowie mam darmowe, dalej, twój telefon może sam dzwonić kiedy chce pod dowolny numer o dowolnej porze, (nie pamiętam dokładnie całości sformułowania), pod spodem za tą usługę naliczana opłata, na dole INSTALUJ i ANULUJ.

WYDAŁO MI SIE TO ABSURDALNE WIĘC NACISNĘŁAM ANULUJ. W miedzy czasie napisałam do kolegi RATUJ gdyż nie wiedziałam o co chodzi i było to podejrzane. Kolega oczywiście zareagował i dalej ciągnie sprawę. Dosłownie po 5 min. dzwoni ten sam telefon i sprawdza czy dostałam sms i co zrobiłam. Oczywiście dostał spora reprymendę ode mnie za kolejna pomyłkę w imieniu, nie omieszkałam zapytać jak można proponować mi tak debilne warunki i ze sie nie zgadzam. Po czym Pan przeprasza że jest nowy i że może dać starszego stażem kolegę i że to nie możliwe, że takie warunki mam pod zainstalowaniem. Zapewnia ze to na pewno system cos pomylił iże sprawdza to zaraz i że na pewno jest to błąd systemu. Na co ja mu powiedziałam, że to jest jakieś oszustwo i się nie zgadzam.

Po czym zaraz zadzwoniłam do salonu PLUSA i opowiedziałam całą historię. Zapewniono mnie że nie ma takiej możliwości aby którykolwiek dział mógł informować klienta w taki sposób o zmianach jakichkolwiek. Weryfikacja przed podjęciem takiej rozmowy jest dogłębna i nie zawiera tylko imienia i nazwiska. Jest to oszustwo. procedura zgłoszenia takich zmian przede wszystkim rozpoczyna sie od wcześniejszego pisma a później kolejnych kontaktów. Jest specjalny dział przyjmujący takie zgłoszenia o takich sytuacjach.

Więc byłam już pewna oszustwa, po czym odwiedził mnie kolega gdy kolejny raz zadzwonił telefon. Poprosiłam go o odebranie a on już powiedział swoje w języku znanym dobrze tym Panom

Dostałem takiego SMS-a/rozmowę

Mamy nadzieję, że nie zainstalowałeś aplikacji. Pamiętaj, aby nigdy nie zezwalać na Androidzie na instalowanie aplikacji z nieznanych źródeł. Ta rada sama w sobie nie wystarczy. Jak widać w drugim wariancie ataku, złośliwe aplikacje są też w oficjalnym sklepie Google (lol, Android!). Więc zawsze pomyśl dwa razy zanim coś pobierzesz i zainstalujesz. Namierz stronę producenta i zwróć uwagę, czy to właśnie do tej aplikacji linkuje on w swoich oficjalnych materiałach. Przyjrzyj się też dokładnie uprawnieniom podczas instalacji aplikacji. Jeśli coś wyda ci się nadmiarowe lub podejrzane — po prostu przerwij instalację.

Jeśli nie masz wiedzy technicznej i powyższe jest dla Ciebie zbyt skomplikowane, to wydaj 1200 PLN, kup sobie iPhona i miej święty spokój.

Jeśli chcesz poznać więcej porad, które pomogą Ci zabezpieczyć Twój komputer i telefon przed hackerami, scamerami i cyberprzestępcami, to zapraszamy na nasze wykłady pt. Jak nie dać się zhackować. Właśnie ustaliliśmy ich terminy do końca roku:

Obecnie, na każde z wydarzeń pierwszych kilkadziesiąt biletów można zdobyć po niższej cenie w przedsprzedaży. Kto pierwszy, ten lepszy!

Przeczytaj także:

31 komentarzy

Dodaj komentarz
  1. klasyk – home.pl – wylęgarnia oszustów, naciągacz i złodziei.
    cała ta domena powinna zostać zlikwidowana

    • Co ma do tego hosting? Równie dobrze osoba mogłaby się posłużyć innym hostingiem

  2. http://185.167.162.245/2.txt
    kolejna magiczna liczba: 2544809999

    Plus pułapka dla programistów/informatyków. Łapanie w pętlę:
    http://185.167.162.245/1.txt

  3. Dostajecie jakieś profity od Apla za reklamowanie ich telefonów? Ja rozumiem, że to może być alternatywa dla Androida, ale równie skuteczną w tym wypadku jest używanie telefonu, który jest “tylko” telefonem – takie da się kupić za znacznie mniej niż 1200 zł. A że funkcjonalność uboższa? Raczej nie dla wszystkich ta różnica będzie warta 1200 zł.

    PS. Skąd macie tak dogłębną wiedzę o “bebechach” iFonów, że gwarantujecie święty spokój?

    • Raczej Android jest alternatywą dla iOSa

  4. IMO kolejna historia jakiegoś gościa który kupuje skrypty na hack forum za 3 dolce i próbuje robić prawie 40m ludzi w bambuko, patraćz na jakość tego JS’a jak i całej strony niespodziewałbym sie niczego innego aniżeli własnie jakiegoś script kiddie który zarabia sobie w euro a wydaje na forum w dolcach :)

  5. i standardowo rady z iphone i jaki to android zly i niebezpieczny
    >po uprzednim zrobieniu najgłupszej z możliwych na Androidzie rzeczy […]
    a to nie wina usera jesli system ostrzega a user to ignoruje?

  6. Mińsk nie jest w Rosji, prawda? To pod adresem 185.167.162.245

  7. home.pl, nazwa.pl
    Od tego należy zacząć cenzurę Internetu.

  8. >wydaj 1200 PLN, kup sobie iPhona i miej święty spokój
    Wydaj 50 zł, kup sobie NOKIĘ 6150 lub inną “cegłę” :)

    • Lepiej coś w stylu Nokii 5130 to sobie chociaż Internet przejrzysz, maila przeczytasz, filmiki na yt obejrzysz a nawet z kominikatorów skorzystasz (GG, Telegram czy nawet facebook i whatsapp)

  9. Na tę godzinę – z tych ip usunięto pliki, puste indexy.

  10. Jest też wariant na iOS z instrukcją jak zrobić jailbreak. Na szczęście user był na tyle “ogarnięty” by spytać czy możemy mu to zrobić jak będzie na spotkaniu.

  11. Do mnie wczoraj zadzwonił jakiś gościu z informacją, że była loteria dla mieszkańców mojego miasta i okolic (rodzinnego, nie mieszkam tam od kilku lat ale się zgadzało), mój nr został wylosowany i wygrałem laptopa.

    Miałem tylko wybrać pasującą mi godzinę imprezy na której będą rozdawane (bo są dwa terminy). Odpowiedziałem że obojętnie (o nic konkretnego jeszcze nie pytał więc chciałem żeby dokończył), powiedział że ok to teraz tylko musze podać imie i nazwisko bo mnie musi wpisać na listę. Powiedziałem że w takim razie dziękuje, a on ok i się rozłączył.

    Możliwe, że to jeden ze sposobów uzupałniania brakujących danych przy tym (albo podobnym) ataku?

  12. Racja, małpy które nie potrafią nawet myśleć nad tym co robią powinny kupić sobie ajfonika. Twój pies ma więcej IQ od Ciebie? Jesteś szpetny czy to na ciele czy z charakteru? Nie potrafisz myśleć samodzielnie i jedyne co potrafisz to podążać za grupą jak krowa w stadzie? Kup ajfonika!
    Nawet mi nie żal takich worków mięsa. Bezwartościowe wynaturzenia, byle by się dowartosciować.

  13. “Jeśli nie masz wiedzy technicznej i powyższe jest dla Ciebie zbyt skomplikowane, to wydaj 1200 PLN, kup sobie iPhona i miej święty spokój.”

    https://www.zdnet.com/article/hacking-campaign-targets-iphone-users-with-data-stealing-location-tracking-malware/

    Jednym słowem – jeśli nie masz wiedzy technicznej oraz ignorujesz wszelkie ostrzeżenia to kup cegłę. Z budowlanego. Bo nawet “telefon-cegła” nie uchroni Cię przed “scamami” z premium-SMS. Dodatkową zaletą cegły z budowlanego jest to, że kosztuje kosztuje 1 zł.

    • Za 1zł ciężko kupić jedną cegłę.

  14. Strona ta (altualziacja-lte5) jest usunięta już

  15. Niektórych mocno w oczy kole fakt, ios jest bezpieczniejszym systemem od androida

  16. Wykonywanie jakiejkolwiek aktualizacji zabezpieczeń wymagającej włączenia dostępu do nieznanych źródeł powinno być karalne.

  17. Dane abonenta domeny nie są faktycznie dostępne, ale wcale nie bo rodo. Już wcześniej tak była polityka NASK-u wobec osób prywatnych, oczywiście nie dotyczy ona firm – których dane kontaktowe można jak najbardziej sprawdzić przez WHOIS.

  18. Kwiki androidowców w komentarzach to prawdziwy miód na uszy <3

  19. Artykuł zacny, ale ten iphone fanboy’ism nudny już jest. I mało merytoryczny, bo idąc tym tokiem myślenia, każdy dumbphone jeszcze bardziej bezpieczny (bo i bardziej ograniczony od “aj-foników), o wspomnianej “cegle z supermarketu” nie wspominając.

    • Ale uberkiem na dumbfonie nie pojedziesz.

    • Jak ktoś świadomie wybiera dumbfona to żadnym Uberem jeździć raczej nie ma zamiaru.
      Mnie też razi trochę ta częstotliwość wspominania o jabłku z jednoczesnym pomijaniem innych rozwiązań.

  20. Apple wam płaci za reklame/denerwowanie androidowców czy po prostu lubicie trollować i patrzeć jak androidowcy się wkurzają?

    • No ale co w tym złego… ja tam lubię jak się androidowcy wkurzają i plują jadem :D tak samo jak i jabłkowcy… mam i jedno i drugie, więc postanowiłem pozostać gdzieś po środku i się tylko przyglądać. Co nie zmienia faktu, że ten androidowy telefon to taki zapasowy “gówniak” jak by się srajfon zes*ał ;)

  21. Istnieje szansa, że przynajmniej raz w roku zorganizuje swoje wykłady w niedzielę :-)? Kurde, nawet na północy kraju (pochodzę z południa)!

  22. Narzekacie, że reklamują ajfona, ale to Android jest tak głupi, że po odtworzeniu z backupu gubi wszystkie ustawienia uprawnień. Nie po to odbieram apkom uprawnienia, żeby po reinstalacji znowu wróciły…

  23. Jestem może starej daty ale kiedyś “wirusy” się łapało niezauważalnie a dziś trzeba go samemu zainstalować ;P widać postęp w tej dziedzinie nie jest jej główną domeną. Pomijam fakt że takie ataki często są skuteczne ;/

  24. […] PS. Właścicielom Androidów, którzy już myślą jakby tu w komentarzach pośmiać się z iPhonowców, uprzejmie przypominamy, że metodą na MDM można w takim sam sposób zaatakować także smartfony z Androidem ;) Ale źli ludzie nie muszą się aż tak męczyć — Androidy atakuje się zdecydowanie szybciej i łatwiej, dziś zresztą już o tym pisaliśmy, por. Uwaga! Polacy dostają prośby o aktualizacje sterownika LTE 5.0 — to atak! […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.