8:15
12/5/2018

Wreszcie jakiś kreatywny atak, a nie tylko “bony z Biedronki“. Jeden z naszych Czytelników otrzymał wczoraj SMS-a z numeru INFO, w którym ktoś podszywając się pod “Operatora” (w domyśle GSM) informuje o konieczności zainstalowania certyfikatu “LTE 5+” …ze względu na wejście w życie ustawy RODO.

W zycie weszla nowa ustawa RODO. Masz 2 dni na zainstalowanie certyfikatu LTE 5+. W przypadku braku wgrania certyfikatu wszystkie polaczenia przycodzace (sic!), wychodzace jak i internet zostana zablokowane. Instrukcja w linku: http://vrte462[.]com/nieblokuj/
Operator

Po wejściu na stronę, ofiara przez widzi taką instrukcję:

…ale nie zdąży się z nią zapoznać, bo sekundę później strona automatycznie próbuje pobrać na telefon złośliwą aplikację na Androida o nazwie app.apk (MD5: 5263eca3921fb2fdf09401774968666d)

Złośliwa aplikacja prosi podczas instalacji m.in. o takie, niepokojące uprawnienia jak:

    Możliwość lokalizacji
    Odczytywanie kontaktów
    Tworzenie i wysyłanie SMS-ów
    Tworzenie i odczytywanie plików na urządzeniu
    Dostęp do poczty głosowe
    Możliwość wykonywania połączeń telefonicznych

I miejmy nadzieję, że prośba o takie uprawnienia wyda się każdemu podejrzana i zniechęci do instalacji. Na szczęście szczęście o godz. 8:00 dziś aplikacja jest już rozpoznawana jako złośliwa przez 27/60 antywirusów.

Ciekawy to atak, ale…

W tej kampanii jest kilka ciekawostek:

1. Jest to pierwszy atak nakłaniający do złego pod pretekstem wchodzącej w życie ustawy RODO. Każdy o niej słyszał, każdy się jej boi, prawie nikt jej nie rozumie. A więc jest to idealnie enigmatyczny pretekst do wymuszania “działań”. Zwłaszcza, że na skrzynki Polaków od początku maja spływa masa regulaminów, które trzeba potwierdzić bo inaczej zablokują konto (por. Wyraź zgodę albo skasujemy ci konto) albo każą płacić. Przestępca co prawda pisze, że ustawa już weszła, więc tym zdaniem pewnie ochroni prawników i informatyków przed infekcją.

2.Atak dotyczy tylko Androida. I w zasadzie tylko tych jego naiwnych użytkowników, którzy zastosują się do instrukcji zezwolenia na instalowanie aplikacji z nieznanych źródeł. Nigdy tego nie róbcie. Czym to grozi opisaliśmy w tekście Jak przestępcy ukradli 10 000 PLN miłośnikowi kryptowalut przez mobilną aplikację.

Znów wychodzi na to, że korzystanie z iPhone (i Google Chrome) jest najbezpieczniejsze dla przeciętnego użytkownika pod kątem ryzyka infekcji złośliwym oprogramowaniem. Na iPhonie w zasadzie nie da się zainstalować złośliwej aplikacji. Aplikacje wgrywane do sklepu Apple (w zasadzie jedyna droga instalacji dla zwykłego użytkownika) przechodzą o wiele dokładniejszą weryfikację niż aplikacje wgrywane do sklepu Google.

3. Atak ma niższą skuteczność niż mógłby mieć przez automatyczne wywoływanie pobierania aplikacji po wejściu na stronę. Ofiara nie zdąży się zapoznać z treścią instrukcji jak zainstalować “certyfikat”. To miły gest przestępcy. W dodatku wersja “desktopowa” przeglądarki Chrome już blokuje plik .apk jako złośliwy (co ciekawe, wersja mobilna nie).

4. Za atakiem stoją Polacy? Atak jest przygotowany prawie idealnym językiem polskim, ale w kodzie strony pozostało kilka błędów wskazujących na poprzednie kampanie, m.in. odwołanie do domeny dpplatnosc[.]pl wykorzystywanej do oszustw na “lewego Dotpay’a“, które ostatnio w unowocześnionej wersji są znów aktywne na OLX w wariancie “na kuriera”.

5. Znów akcja na weekend. Pierwsze ślady złośliwego pliku jakie udało nam się namierzyć pochodzą z wczoraj (11 maja 2018, z godz. 16.00), a więc już standardowo, złośliwa kampania została odpalona na weekend. Obniża to skuteczność na telefonach firmowych, ale utrudnia analizę i “odkręcenie” oszustw, które zostaną wykonane w trakcie weekendu. Infolinie banków i operatorów nie pracują tak sprawnie, jak mogłyby i ofiary z reguły mają mniejsza możliwość działania. Zwłaszcza, że zbliża się niedziela “niehandlowa”.

Jak bezpiecznie korzystać ze smartfona?

Na koniec przypomnijmy “ABC” bezpiecznego korzystania ze smartfona, które pasują do tej kampanii i które powtarzamy na naszych wykładach pt. “Jak nie dać się zhackować?

  • Nie zezwalaj na instalacje aplikacji spoza zaufanych źródeł
  • Zawsze przeglądaj uprawnienia o jakie prosi aplikacja. Jeśli coś jest podejrzane (np. dostęp do SMS-ów przez latarkę, albo do lokalizacji przez kalkulator), nie instaluj aplikacji
  • Jeśli nie masz wiedzy technicznej i 1300 złotych, to kup sobie iPhona i miej święty spokój. Wytrzyma dłużej niż tanie Androidy, a jest znacznie bezpieczniejszy

Jeśli chciałbyś poznać więcej rad i sposób w jaki przestępcy próbują okradać/infekować Polaków, to zapraszamy na nasze wykłady w przyszłym tygodniu w największych polskich miastach:

Dowiedz się jak poprawnie❗zabezpieczyć swoje dane przed hackerami i jak bezpiecznie używać internetu (na smartfonie i komputerze) do 💶 bankowości oraz 🛍zakupów online. Przyjdź na nasz wykład a pokażemy Ci najpopularniejsze ataki, jakie czyhają na Polaków i nauczymy Cię jak się przed nimi ochronić. Wiedzę przekazujemy z humorem i językiem zrozumiałym dla każdego. Aby się zarejestrować i przeczytać opinie tych, którzy już byli na tym wykładzie, kliknij tutaj!

Najbliższe terminy wykładu:

IOC dla tej kampanii

Domena:
vrte462.com (IP: 206.189.118.234 - DigitalOcean)
Registry Domain ID: 2261722704_DOMAIN_COM-VRSN
Creation Date: 2018-05-09T19:23:23Z
Name Server: DNS1.BACLOUD.COM
Name Server: DNS1.LAISVAS.LT
Name Server: DNS2.BACLOUD.COM
Name Server: DNS2.LAISVAS.LT

Malware:
app.apk
MD5: 5263eca3921fb2fdf09401774968666d

Jak wynika z analizy w sandboksie, próbuje łączyć się z URL: https://sdsdsdsdaas[.]tk/wouldthrough/.

Przeczytaj także:

61 komentarzy

Dodaj komentarz
  1. Tak z ciekawości: sprawdzaliście, jak sobie radzi z tym aplikacja DTEK od BB?

    • Sprawdź i podziel się!

  2. Kiedy wejdzie przepis, że firma hostingowa też odpowiada za oszustwa. Wtedy zaczną monitorować kto co hostuje.

    • Wtedy darmowe hostingi się pozamykają, płatne podniosą ceny, a przestępcy zaczną hostować za granica. No ale w końcu będziemy mieć nowe wspaniałe prawo, które zacznie karać, a to, że najbardziej niewinni dostaną, to już inna sprawa.

    • Jeśli firmy hostingowe miałyby nagle zacząć odpowiadać za oszustwa, to ceny hostingów wzrosłyby o 1000%, co z kolei zabiłoby lokalny rynek bo każdy hostowałby się za granicą.

      Chciałbym też usłyszeć jak wyobrażasz sobie egzekwowanie takiego przepisu na firmach zza granicy.

    • Być może razem, że firma wynajmująca lokal odpowiada za oszustwa dokonane przez najemcę albo że firma wypożyczająca samochody za oszustwa dokonane przez wypożyczającego.

    • Co to oznacza “hosting” ? :)
      Co szkodzi postawic jakis serwer na laczu w jakims miejscu publicznym? Oby byl publiczny IP i tyle…

    • Poza tym nie każdy złodziej ma shared – większość ma swoje maszyny lub dzierżawione VPS-y albo dedyki – a to zupełnie co innego niż hosting.
      Zgodnie z orzecznictwem, jeżeli przepisy umowy nie stanowią inaczej, to dzierżawca co do zasady nie odpowiada za to, co na wydzierżawionym miejscu/urządzeniach/usługach robi najemca.
      Różnica w reagowaniu na incydenty pomiędzy sharedem a VPS-em/dedykiem objawia się już na “warstwie” postępowania karnego o treści trzymanego na nich serwisu czy choćby prawa autorskie. Na sharedzie właściciel firmy może, a właściwie musi, zareagować na “takedown notice”, bo to on jest jej operatorem. Dzierżawcy VPS-ów i dedyków przeforwardują takie pismo do najemcy (jak się im chce) albo po prostu odpiszą, że nie są stroną w sprawie i dlaczego (usługa jest dzierżawiona, dane klienta mogą podać jak przyjdą z nakazem ich udostępnienia i niech się fatygują do klienta).

    • Okej, spoko – strona w php albo pythonie i “łatwo” skontrolować. A co, jeżeli będę potrzebował zahostować coś w języku kompilowanym? Mam dać dostęp do źródeł mojej cholernie drogiej aplikacji jakiemuś Przemowi ze Zgierza? No i kto zapłaci w/w za czytanie masy mb kodu dziennie ze zrozumieniem? Oczywiście, klienci. W większości ci uczciwi.

  3. Dlatego właśnie jestem za tym aby w każdej firmie była osoba nadzorująca bezpieczeństwo i zapewniająca choć podstawowe szkolenie w tym zakresie (dla pracowników). W przypadku firmy jednoosobowej, taki szef / pracownik powinien samodzielnie śledzić nowinki z życia cyberzłoczyńców.
    A co do RODO to pomału sytuacja będzie się zmieniać i każdy, w mniejszym lub większym stopniu, będzie wiedział co to takiego. Trzeba tylko trochę poczekać.

    • W większości firm zajmuje się tym po prostu helpdesk. Przynajmniej w firmach w których pracowałem dział IT rozsyłał maile o nowych atakach i do mnie przychodzili z podejrzanymi SMSami i mailami (chociaż mieliśmy PhishMe).

    • Taaa, już widzę jak robokopy z magazynu Amazona gdzie korzystanie z toalety obniża “normę” dostają szkolenia bezpieczeństwa.

    • Bajzlu z danymi jest co niemiara właśnie przy zespołach “obsługi klientów”, rozsianych po całym świecie i pracujących offsite. Korpobajzel kontra uczciwi ludzie, mający przecież podpisane NDA w zakresie świadczonych usług.

  4. He he he. Idą z duchem czasu chłopaki “certyfikat LTE”. Pomysłowość niczego sobie :D
    PS. Udostępnione znajomym choć nie wiadomo ilu z nich rzeczywiście to przeczyta ;)

  5. Przypomniała mi się farba do smarowania telewizorów żeby odbierały DVB-T. Też ciekawe i też trzeba kogoś skrajnie naiwnego żeby to zrobił.

  6. iPhone nie jest bezpieczniejszy, jest po prostu debiloodporny…

    • +1
      to wina usera który da się nabrać na coś takiego jak “certyfikaty apk”

    • I ekosystemu który nie broni użytkownika przed głupota :)

    • Na W10 (też tym mobilnym) również nie przejdzie, środowisko jest tak izolowane, że żeby cokolwiek zrobić bez zgody usera, to trzeba mieć interop capabilities. Już łatwiej baseband podmienić.

    • Nazywaj jak chcesz w swoim środowisku ale nie wypisuj tutaj nieuzasadnionych głupot

    • @Piotr Konieczny
      Chroni, bo opcja instalowania z Nieznanych Źródłem jest wyłączona. To że użytkownik ją włączy i nie pilnuje, to nie jest wina systemu.

  7. Ad. 2. W tym przypadku trzeba wyrazić zgodę na aplikację z nieznanego źródła, więc nie jest to raczej wina słabej weryfikacji w sklepie Google.

  8. Chętnie poczytałbym kogoś mądrego o tym co ta aplikacja robi.
    Rady z iphonem dobre.

    • Artykuł sponsorowany przez Apple.

  9. Zawsze jak czytam treści tych wszystkich przekrętów i widzę te literówki które tam są popełniane to śmiać mi się chce że ktoś się na to w ogóle nabiera. Ale gdy widzę jak niebezpiecznik opisuje taki atak i również zwraca uwagę na te literówki sam takie popełniając w tekście to mam wrażenie że autor chyba nie czyta tego co sam przed chwilą napisał.
    Ale i tak brawa dla was że to opisujecie i ostrzegacie.

    • Ale grupa docelowa tych ataków sama nie lepiej posługuje się swoim językiem.

    • Cóż… też się śmiałem… do czasu…
      https://www.crazynauka.pl/wp-content/uploads/2013/05/mozg2.png
      I właśnie tu, może nie w większości przypadków, ale w sporej części, może być „pies pogrzebany”. Tak, to prawda, że zauważamy błędy, ale wtedy, gdy ich oczekujemy… w takiej „kampanii” zobaczymy je dlatego, bo z doświadczenia, bądź ze słyszenia wiemy, że bardzo często tam występują… czy będziemy je w stanie wykryć gdy się tego nie spodziewamy, gdy „kampania” i nas oszuka… na szczęście nie musiałem jeszcze tego sprawdzać.

    • Ta sama grupa docelowa…

    • Literówki w tego typu “atakach” to jak najbardziej zamierzony środek oddziaływania na ofiary. Jest to po prostu najgrubsze sito. Jeśli potencjalny odbiorca zwróci uwagę na literówki i oleje wiadomość, to w wielu przypadkach znaczy, że i tak na dalszym etapie taka osoba by się połapała, że coś jest nie tak, więc lepiej niech od razu sobie odpuści niż marnować na nią moce przerobowe ludzi i serwerów.

    • Kampania do tych którzy uważają, że tablet ma górę i dół. http://bi.gazeta.pl/im/49/52/ce/z13521481AA.jpg

  10. Zawsze w tych atakach podobało mi się to, że adresy URL praktycznie zdradzają, że to przekręt. Losowa domena i “nieblokuj”. Ile jeszcze czasu minie zanim ludzie uczulą się na takie rzeczy? Przecież operator ma swoją domenę i nigdy nie będzie robił linków typu “nieblokuj”, bo to wygląda zwyczajnie niepoważnie. :D

    • Jeśli ktoś ma więcej szarych komórek niż tę jedną w kieszeni, to każdy element takiego ataku zdradza że to przekręt.

  11. >Za atakiem stoją Polacy?

    Oczywiście że tak, wszędzie indziej ta dyrektywa nazywa się GDPR.

    • >wszędzie indziej ta dyrektywa nazywa się GDPR
      GDPR to skrót międzynarodowy. Skąd wiesz, że inne kraje nieanglojęzyczne lokalnie nie wprowadziły włanych skrótów? Na przykład VAT (Value Added Tax) w Niemczech nazywa się MWST.

    • W Niemczech nazywają to DSGVO, w Holandii AVG, po włosku, hiszpańsku i francusku RGPD.

  12. Trzeba mieć IQ glonu, żeby w to uwierzyć. Strona 462costam.com i frytki do tego?

  13. > to kup sobie iPhona
    Nokia 6150 jeszcze tańsza a o bezpieczeństwie niech świadczy to, że przez 18 lat nie było słychać o atakach na nią! :)

  14. Podejrzane jest już to w jaki sposób się instaluje ten “certyfikat”.
    Po drugie jakby było to konieczne to w internecie by była informacja o tym.

    • A skad by sie Niebezpiecznik o tym dowiedzial?

  15. Operatorzy pracują w każdy weekend, i nie ważne czy jest to niedziela handlowa czy też nie zawsze odbieramy połączenia.

    • Salon wyrabiający duplikat karty SIM też jest czynny w taka niedzielę?

    • W Orange można dostać duplikat SIM w poniższej procedurze:
      https://www.orange.pl/omnibook/samodzielna-wymiana-karty-sim
      Czynne 24/7/365, w niehandlowe niedziele też. :)

    • Ale musisz miec aktywna karte stara.

    • > “Ale musisz miec aktywna karte stara.”

      A w salonie aby nie odmówią klona karty już nie aktywnej?

    • Jak ci ukradli to w salonie nie masz starej karty że sobą

  16. Z jednej strony ostrzegacie przed instalacją złośliwego oprogramowania, które wymaga uprawnień umożliwiających szpiegowanie użytkownika, a z drugiej zachęcacie do używania iPhonów, których system ma dostęp do tych samych danych i też ma zamknięty kod źródłowy. Czy to jest artykuł sponsorowany?

    • Dołączam do pytania, komentarz zestawiający Androida z iPhone jest na granicy nachalnej reklamy. Taki atak nie przechodzi również na dowolnym dumbphone czy na Windows Mobile, ale nie, ważne ze nie przechodzi na iPhone. Nie ważne, że iPhone też ma swoje malware i że schemat ataku mógłby być podobny, tyle że odwoływać się do “legalnej” aplikacji, zaakceptowanej przez automaty weryfikujące, w której podatność byłaby po prostu dobrze ukryta (vide Jekyll itp.). iPhony miewają też kompromitujące podatności, typu Pegasus (hakowanie telefonu przez wysłanie do niego SMS) czy CVS-2016-4673 (hakowanie telefonu plikiem JPG) itp.

      Taki więc tekst “Jeśli nie masz wiedzy technicznej i 1300 złotych, to kup sobie iPhona i miej święty spokój. Wytrzyma dłużej niż tanie Androidy, a jest znacznie bezpieczniejszy” jest zwyczajnie niedopuszczalny. Jeśli do tego, jak sugeruje zdanie wyżej, ten tekst pojawia się na wykładach z ABC bezpiecznego korzystania ze smartfona, to chyba warto się Piotrze zastanowić zastanowić się czy się trochę nie pogubiliście w upraszczaniu rzeczywistości.

    • Tak, kazdy system ma błędy, nawet iOS, ale wymuszanie aktualizacji i sprawna dystrybucja tychże ten problem rozwiązuje. Oczywiście w kontekście malware windows phone też jest lepszy niż Android. Ale nie wszystkie aplikacje są dostępne na ten system bo jest mniej popularny – stąd podtrzymujemy – iPhone jest najlepszy dla osób które chcą być bezpieczne używajac smatfona i nie są techniczne oraz mają 1300pln.

    • ile wam apple płaci za te teksty?

  17. Ustawa ma być stosowana od 25 maja 2018. Każdy kto to wie, od razu widzi, że to przekręt.

  18. zadziałałoby gdyby atakujący kupili od fejsbuka liste top 10000 kretynów.

  19. Jeśli nie potraficie odnaleźć w artykule informacji jak wykonano atak i że na iPhonie nie da się zrobić identycznego – to polecam go przeczytać jeszcze raz…. a nie udowadniać, że ios też ma podatności (a jest coś, co ich nie ma?)

  20. Dlatego ja używam lumii 950xl wm też jest bezpieczniejszy od androida ;-)

  21. “Po wejściu na stronę, ofiara przez widzi taką instrukcję:”
    chyba mieliście na myśli “Po wejściu na stronę, ofiara przez chwile widzi taką instrukcję:” :)

  22. Z ciekawosci, gdzie ja tego iPhone za 1300PLN kupie?

    • Pewien znany elektromarket wyprzedaje teraz SE w tej cenie

  23. > widzę te literówki które tam są popełniane to śmiać mi się chce że ktoś się na to w ogóle nabiera
    w badaniach wyszło, że 85% (jak dobrze pamiętam) Polaków to wtórni analfabeci, więc ciesz się, że masz powód do śmiechu z literówek, bo 8 osób wokół Ciebie nie wie co to literówka. Bycie dyslektykiem stało się ostatnio modne…

    > kiedy przestaniemy się nabierać na te przekręty
    nigdy. Pokolenie 35+ nie dogoni już zmian w infrastrukturze i nie zrozumie różnicy między URL a HTTP, pokolenie 25-35 w wielu przypadkach nie zrozumie o co chodzi, a 10-20 jeszcze się nie nauczyło, chociaż mają największe szanse. Tak długo jak ludzie będą się nabierać na darmowe iPhony, darmowe bony o wartości 300 zł czy buty Adidas/Nike za 1 zł takie przekręty będą opłacalne.

  24. Z tego co widzę, jeszcze mało kto wie jak działa RODO, szczególnie firmy.

  25. Ja jeszcze nic takiego nie dostałem.

  26. Pytanie do znawców…
    Obsługuje z telefonu aplikacje bankowe, lepiej do tego celu używać Androida (Galaxy S8) czy kupić iPhone?

    • Kupuj co chcesz, wystarczy być uważnym i używać mózgu. Jeśli do tego czytasz niebezpiecznik i wiesz, jak działają scammerzy – będziesz odporny na 99,9% ataków.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: