23/3/2017
Mamy przełom. Chyba po raz pierwszy przestępcy wykorzystali w ataku fałszywe BTS-y — nie tyle do podsłuchiwania i namierzania ofiary, co do infekowania jej telefonu złośliwym oprogramowaniem, przeklinającym trojanem.
Kup IMSI Catchera
Przepis na atak jest stosunkowo prosty. Trzeba się wyposażyć w fałszywego BTS-a, czyli tzw. IMSI Catchera (w Polsce zwanego też jaskółką). Takie cudo można skonstruować samemu, ale po co wyważać otwarte drzwi? W Chinach jest pełno firm sprzedających fałszywe BTS-y (ceny zaczynają się już od kilkuset dolarów.
Następnie IMSI Catchera odpalamy i telefony osób znajdujących się w pobliżu przypinają się do niego. Po podpięciu się do IMSI Catchera, telefony otrzymują zespoofowanego SMS-a, który wygląda jakby pochodził od jednego z operatorów GSM – China Mobile lub China Unicom. Wiadomość zachęca do kliknięcia w link, pod którym kryje się paczka instalująca złośliwe oprogramowanie.
Trojan po zainstalowaniu rozsyła się poprzez SMS-y do osób, które ofiara miała w swojej książce kontaktowej. Trojan korzysta z kilku ciekawych pretekstów:
- “Na przełożonego”: Ściągnij i otwórz ten dokument, to pilne, wyślij komentarze
- “Na niewierność”: MMS z linkiem do video rzekomo zawierającym dowód na zdradę
- “Trend”: Dotyczący jakiegoś głośnego w danej chwili w mediach wydarzenia
- “Aktualizacja”: Wiadomość udająca dostawcę usługi (bank, telekom) i podsyłająca “krytyczną poprawkę”
Przeklinający trojan (jego nazwa pochodzi od wulgarnych chińskich słów umieszczonych w kodzie) wykrada dane użytkownika i pozwala atakującym omijać 2 składnikowe uwierzytelnienie poprzez podsłuchiwanie treści SMS-ów. Wedle badaczy, Trojan nie komunikuje się z żadnym C&C. Wykradzione informacje są wysyłane e-mailem lub SMS-em do atakującego.
Ciekawe kiedy ten wektor ataku dotrze do Polski…
Zacząłem się zastanawiać jak wyglądają chińskie wulgarne znaki. Dzięki.
Dołączam do pytania. Proszę o próbki.
Skoro pytacie… Enjoy! https://s-media-cache-ak0.pinimg.com/564x/70/28/91/7028912ba7d2c2c7616753ae3fbf932a.jpg
Chodzi mi próbki w kodzie.
Co robić? Jak żyć?
– nie klikać w linki z smsów
– nie używać 2 składnikowego uwierzytelnienia opartego o SMSy
Nie przeklinać w kodzie, bo opinia osoby wulgarnej przylgnie do nas do końca życia.
Oskar, powiedz to w mBanku. Oni mają klapki na oczach i w doopie sugestie klientów na wprowadzenie fizycznych tokenów jak choćby YubiKey.
Nie przesadzajmy – 2FA oparte o SMSy jest dużo lepsze niż jego brak, a w polskich bankach to obecnie standard
Wiedz, że coś się dzieje, gdy dostaniesz SMSa po chińsku od Twojego szefa ;)
nie włączać/wyłączyć instalowanie oprogramowania z nieznanych źródeł
Osobna telefon z kartą(najlepiej stara nokia) do przyjmowania smsów z hasłami :)
używać windows phone – tego nikt nawet kijem ruszać nie chce bo się nie opłaca
Kupić sobie stary telefon jakich używali za PRL=u.
Jak wykryć trojana?
Kiedy ? Przecież pisze ile idzie paczka do polszy, plus robocze, miesiąc i będzie już kilku Januszy GSM :)
Odinstalować androida?
A może tak walnąć wszystko,wyjechać wyjechać w dzicz i cieszyć się życiem.
Jak nie politycy to fiskus jak nie fiskus to terroryści jak nie terroryści to telefon.
Wyjechać można, ale czemu od razu do Radomia?
Pytanie laika, przed instalacją w żaden sposób nie chronią ustawienia telefonu typu instaluj oprogramowanie tylko ze sklepu?
Wydaje mi się, że pomoże
Czas przeportować Sailfisha na moje Moto XF :)
>> Czas przeportować Sailfisha na moje Moto XF :)
a w czym miałoby to pomóc? nie ma przeglądarki www, nie obsługuje sms-ów i załączników?
“Na wstępie nadmienię, że jak nie przeklinam, to mam problemy z wysławianiem się”
Teraz już Polacy nie będą mieli problemu z wysławianiem się przez szpiegowskiego Androida.
wydarzenie to było jak by przeklinał, ale po rosyjsku [cool]
Eee, a już myślałem, że hakerzy mieli trochę polotu. Kto pamięta przeklinającego dosowego wirusa Cysta.8045 (Rychu)
https://www.youtube.com/watch?v=EtIPD8amS-w
Wyobraźcie sobie, że wasz telefon nagle zaczyna głośno przeklinać w losowych odstępach czasu. Genialne to by było.
Naprawdę ktoś czyta sms-y od operatora ;/
Jestem na bierzaco z tymi super doskonalymi atakami. Typu..
1 kliknij link
2 zainstaluj
3 podnies uprawnienia
4…. placz bo kuku ci sie dzieje
No ja prosze niemal kazdy z tych atakow jest o kant d….y rozbic przy minimalnym rozsondku.
Zwłaszcza przy minimalnym “rozsondku”.
W sumie to dobry sposob.
Zapłać albo twoj telefon w kazdej rozmowie telefonicznej bedzie dodawal wulgaryzmy i odglosy porno. A jak nie dzwonisz to po prostu przekina z glosnika.
Nie masz fizycznego przycisku do sciszania, tylko programowy
No to teraz osoba która jako pierwsza napisze apkę która będzie pozawlać się łączyć tylko z sprawdzonymi bts’ami np z listy, może zarobić krocie XD
Przecież już jest AIMSICD i to za darmo.