11:38
23/3/2017

Mamy przełom. Chyba po raz pierwszy przestępcy wykorzystali w ataku fałszywe BTS-y — nie tyle do podsłuchiwania i namierzania ofiary, co do infekowania jej telefonu złośliwym oprogramowaniem, przeklinającym trojanem.

Kup IMSI Catchera

Przepis na atak jest stosunkowo prosty. Trzeba się wyposażyć w fałszywego BTS-a, czyli tzw. IMSI Catchera (w Polsce zwanego też jaskółką). Takie cudo można skonstruować samemu, ale po co wyważać otwarte drzwi? W Chinach jest pełno firm sprzedających fałszywe BTS-y (ceny zaczynają się już od kilkuset dolarów.

Następnie IMSI Catchera odpalamy i telefony osób znajdujących się w pobliżu przypinają się do niego. Po podpięciu się do IMSI Catchera, telefony otrzymują zespoofowanego SMS-a, który wygląda jakby pochodził od jednego z operatorów GSM – China Mobile lub China Unicom. Wiadomość zachęca do kliknięcia w link, pod którym kryje się paczka instalująca złośliwe oprogramowanie.

Trojan po zainstalowaniu rozsyła się poprzez SMS-y do osób, które ofiara miała w swojej książce kontaktowej. Trojan korzysta z kilku ciekawych pretekstów:

  • “Na przełożonego”: Ściągnij i otwórz ten dokument, to pilne, wyślij komentarze
  • “Na niewierność”: MMS z linkiem do video rzekomo zawierającym dowód na zdradę
  • “Trend”: Dotyczący jakiegoś głośnego w danej chwili w mediach wydarzenia
  • “Aktualizacja”: Wiadomość udająca dostawcę usługi (bank, telekom) i podsyłająca “krytyczną poprawkę”

Przeklinający trojan (jego nazwa pochodzi od wulgarnych chińskich słów umieszczonych w kodzie) wykrada dane użytkownika i pozwala atakującym omijać 2 składnikowe uwierzytelnienie poprzez podsłuchiwanie treści SMS-ów. Wedle badaczy, Trojan nie komunikuje się z żadnym C&C. Wykradzione informacje są wysyłane e-mailem lub SMS-em do atakującego.

Ciekawe kiedy ten wektor ataku dotrze do Polski…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

32 komentarzy

Dodaj komentarz
  1. Zacząłem się zastanawiać jak wyglądają chińskie wulgarne znaki. Dzięki.

  2. Co robić? Jak żyć?

    • – nie klikać w linki z smsów
      – nie używać 2 składnikowego uwierzytelnienia opartego o SMSy

    • Nie przeklinać w kodzie, bo opinia osoby wulgarnej przylgnie do nas do końca życia.

    • Oskar, powiedz to w mBanku. Oni mają klapki na oczach i w doopie sugestie klientów na wprowadzenie fizycznych tokenów jak choćby YubiKey.

    • Nie przesadzajmy – 2FA oparte o SMSy jest dużo lepsze niż jego brak, a w polskich bankach to obecnie standard

    • Wiedz, że coś się dzieje, gdy dostaniesz SMSa po chińsku od Twojego szefa ;)

    • nie włączać/wyłączyć instalowanie oprogramowania z nieznanych źródeł

    • Osobna telefon z kartą(najlepiej stara nokia) do przyjmowania smsów z hasłami :)

    • używać windows phone – tego nikt nawet kijem ruszać nie chce bo się nie opłaca

    • Kupić sobie stary telefon jakich używali za PRL=u.

  3. Jak wykryć trojana?

  4. Kiedy ? Przecież pisze ile idzie paczka do polszy, plus robocze, miesiąc i będzie już kilku Januszy GSM :)

  5. Odinstalować androida?

  6. A może tak walnąć wszystko,wyjechać wyjechać w dzicz i cieszyć się życiem.
    Jak nie politycy to fiskus jak nie fiskus to terroryści jak nie terroryści to telefon.

    • Wyjechać można, ale czemu od razu do Radomia?

  7. Pytanie laika, przed instalacją w żaden sposób nie chronią ustawienia telefonu typu instaluj oprogramowanie tylko ze sklepu?

    • Wydaje mi się, że pomoże

  8. Czas przeportować Sailfisha na moje Moto XF :)

    • >> Czas przeportować Sailfisha na moje Moto XF :)

      a w czym miałoby to pomóc? nie ma przeglądarki www, nie obsługuje sms-ów i załączników?

  9. “Na wstępie nadmienię, że jak nie przeklinam, to mam problemy z wysławianiem się”

    Teraz już Polacy nie będą mieli problemu z wysławianiem się przez szpiegowskiego Androida.

  10. wydarzenie to było jak by przeklinał, ale po rosyjsku [cool]

  11. Eee, a już myślałem, że hakerzy mieli trochę polotu. Kto pamięta przeklinającego dosowego wirusa Cysta.8045 (Rychu)
    https://www.youtube.com/watch?v=EtIPD8amS-w

    Wyobraźcie sobie, że wasz telefon nagle zaczyna głośno przeklinać w losowych odstępach czasu. Genialne to by było.

  12. Naprawdę ktoś czyta sms-y od operatora ;/

  13. Jestem na bierzaco z tymi super doskonalymi atakami. Typu..
    1 kliknij link
    2 zainstaluj
    3 podnies uprawnienia
    4…. placz bo kuku ci sie dzieje

    No ja prosze niemal kazdy z tych atakow jest o kant d….y rozbic przy minimalnym rozsondku.

    • Zwłaszcza przy minimalnym “rozsondku”.

  14. W sumie to dobry sposob.
    Zapłać albo twoj telefon w kazdej rozmowie telefonicznej bedzie dodawal wulgaryzmy i odglosy porno. A jak nie dzwonisz to po prostu przekina z glosnika.
    Nie masz fizycznego przycisku do sciszania, tylko programowy

  15. No to teraz osoba która jako pierwsza napisze apkę która będzie pozawlać się łączyć tylko z sprawdzonymi bts’ami np z listy, może zarobić krocie XD

    • Przecież już jest AIMSICD i to za darmo.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: