11:38
23/3/2017

Mamy przełom. Chyba po raz pierwszy przestępcy wykorzystali w ataku fałszywe BTS-y — nie tyle do podsłuchiwania i namierzania ofiary, co do infekowania jej telefonu złośliwym oprogramowaniem, przeklinającym trojanem.

Kup IMSI Catchera

Przepis na atak jest stosunkowo prosty. Trzeba się wyposażyć w fałszywego BTS-a, czyli tzw. IMSI Catchera (w Polsce zwanego też jaskółką). Takie cudo można skonstruować samemu, ale po co wyważać otwarte drzwi? W Chinach jest pełno firm sprzedających fałszywe BTS-y (ceny zaczynają się już od kilkuset dolarów.

Następnie IMSI Catchera odpalamy i telefony osób znajdujących się w pobliżu przypinają się do niego. Po podpięciu się do IMSI Catchera, telefony otrzymują zespoofowanego SMS-a, który wygląda jakby pochodził od jednego z operatorów GSM – China Mobile lub China Unicom. Wiadomość zachęca do kliknięcia w link, pod którym kryje się paczka instalująca złośliwe oprogramowanie.

Trojan po zainstalowaniu rozsyła się poprzez SMS-y do osób, które ofiara miała w swojej książce kontaktowej. Trojan korzysta z kilku ciekawych pretekstów:

  • “Na przełożonego”: Ściągnij i otwórz ten dokument, to pilne, wyślij komentarze
  • “Na niewierność”: MMS z linkiem do video rzekomo zawierającym dowód na zdradę
  • “Trend”: Dotyczący jakiegoś głośnego w danej chwili w mediach wydarzenia
  • “Aktualizacja”: Wiadomość udająca dostawcę usługi (bank, telekom) i podsyłająca “krytyczną poprawkę”

Przeklinający trojan (jego nazwa pochodzi od wulgarnych chińskich słów umieszczonych w kodzie) wykrada dane użytkownika i pozwala atakującym omijać 2 składnikowe uwierzytelnienie poprzez podsłuchiwanie treści SMS-ów. Wedle badaczy, Trojan nie komunikuje się z żadnym C&C. Wykradzione informacje są wysyłane e-mailem lub SMS-em do atakującego.

Ciekawe kiedy ten wektor ataku dotrze do Polski…

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. Zacząłem się zastanawiać jak wyglądają chińskie wulgarne znaki. Dzięki.

  2. Co robić? Jak żyć?

    • – nie klikać w linki z smsów
      – nie używać 2 składnikowego uwierzytelnienia opartego o SMSy

    • Nie przeklinać w kodzie, bo opinia osoby wulgarnej przylgnie do nas do końca życia.

    • Oskar, powiedz to w mBanku. Oni mają klapki na oczach i w doopie sugestie klientów na wprowadzenie fizycznych tokenów jak choćby YubiKey.

    • Nie przesadzajmy – 2FA oparte o SMSy jest dużo lepsze niż jego brak, a w polskich bankach to obecnie standard

    • Wiedz, że coś się dzieje, gdy dostaniesz SMSa po chińsku od Twojego szefa ;)

    • nie włączać/wyłączyć instalowanie oprogramowania z nieznanych źródeł

    • Osobna telefon z kartą(najlepiej stara nokia) do przyjmowania smsów z hasłami :)

    • używać windows phone – tego nikt nawet kijem ruszać nie chce bo się nie opłaca

    • Kupić sobie stary telefon jakich używali za PRL=u.

  3. Jak wykryć trojana?

  4. Kiedy ? Przecież pisze ile idzie paczka do polszy, plus robocze, miesiąc i będzie już kilku Januszy GSM :)

  5. Odinstalować androida?

  6. A może tak walnąć wszystko,wyjechać wyjechać w dzicz i cieszyć się życiem.
    Jak nie politycy to fiskus jak nie fiskus to terroryści jak nie terroryści to telefon.

    • Wyjechać można, ale czemu od razu do Radomia?

  7. Pytanie laika, przed instalacją w żaden sposób nie chronią ustawienia telefonu typu instaluj oprogramowanie tylko ze sklepu?

    • Wydaje mi się, że pomoże

  8. Czas przeportować Sailfisha na moje Moto XF :)

    • >> Czas przeportować Sailfisha na moje Moto XF :)

      a w czym miałoby to pomóc? nie ma przeglądarki www, nie obsługuje sms-ów i załączników?

  9. “Na wstępie nadmienię, że jak nie przeklinam, to mam problemy z wysławianiem się”

    Teraz już Polacy nie będą mieli problemu z wysławianiem się przez szpiegowskiego Androida.

  10. wydarzenie to było jak by przeklinał, ale po rosyjsku [cool]

  11. Eee, a już myślałem, że hakerzy mieli trochę polotu. Kto pamięta przeklinającego dosowego wirusa Cysta.8045 (Rychu)
    https://www.youtube.com/watch?v=EtIPD8amS-w

    Wyobraźcie sobie, że wasz telefon nagle zaczyna głośno przeklinać w losowych odstępach czasu. Genialne to by było.

  12. Naprawdę ktoś czyta sms-y od operatora ;/

  13. Jestem na bierzaco z tymi super doskonalymi atakami. Typu..
    1 kliknij link
    2 zainstaluj
    3 podnies uprawnienia
    4…. placz bo kuku ci sie dzieje

    No ja prosze niemal kazdy z tych atakow jest o kant d….y rozbic przy minimalnym rozsondku.

    • Zwłaszcza przy minimalnym “rozsondku”.

  14. W sumie to dobry sposob.
    Zapłać albo twoj telefon w kazdej rozmowie telefonicznej bedzie dodawal wulgaryzmy i odglosy porno. A jak nie dzwonisz to po prostu przekina z glosnika.
    Nie masz fizycznego przycisku do sciszania, tylko programowy

  15. No to teraz osoba która jako pierwsza napisze apkę która będzie pozawlać się łączyć tylko z sprawdzonymi bts’ami np z listy, może zarobić krocie XD

    • Przecież już jest AIMSICD i to za darmo.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.