19:55
15/10/2018

Od kilku dni pewien niestrudzony i znany już Czytelnikom Niebezpiecznika przestępca usiłuje zainfekować telefony Polaków i okraść ich konta bankowe. Tym razem podszywa się pod Inpost. Przyjrzyjmy się bliżej jego kampanii.

Uwaga na SMS-y z Inpostu

Pierwsze informacje na temat ataku dotarły do nas w czwartek. Na telefony Polaków został wysłany SMS o treści:

Twoja paczka już czeka na odebranie, pobierz aplikacje wygeneruj kod i wyjmij paczke. Link do aplikacji: https://odbierzpaczke[.]com

Jak poinformował nas jeden z Czytelników, SMS-y:

Wyświetla[ją] się pod tym samym numerem (nazwą) co wcześniej legitne SMSy z paczkomatów.
(…)
Wcześniej taki SMS przyszedł z innego numeru, ale dwa ostatnie z numeru (nazwy) InPost.
(…)
Po wejściu na stronę, automatycznie chce się pobrać apka z niezaufanego źródła. Na stronie jest instrukcja żeby pozwolić na niezaufane źródła. Po paru minutach strona znika, pod adresem nie ma nic.

Wiadomości wysyłane są albo z zespoofowanego nadawcy opisanego jako INPOST albo TEST (albo czasem z numeru telefonu). W przypadku nadawcy INPOST wątkują się one (co zrozumiałe) z oficjalnymi, poprzednimi wiadomościami SMS jakie otrzymywała ofiara od Paczkomatów:

To zwiększy liczbę ofiar, gdyż ludzie automatycznie uwierzą, że wiadomość rzeczywiście pochodzi od operatora Paczkomatów, tak jak poprzednie, które otrzymali. Z tego samego powodu ta kampania podszywająca się pod Biedronkę zebrała tak spore żniwo.

Bazując na informacjach od Czytelników udało nam się ustalić, że rozsyłane były dwa linki:

odbierzpaczke[.]com
kod-paczk[.]com

Powyższe domeny zostały zakupione kolejno 10 października i 12 października, ale atakujący najwyraźniej jest zbyt szybko blokowany (albo bardzo chce pozostać poniżej poziomu wykrycia), bo dziś doszły kolejne domeny:

inpost1[.]tk
inpost1[.]ml

Co dzieje się po wejściu na stronę?

Po wejściu na stronę ofiara jest przekierowany pod adres

Po wyglądzie landing page’a i koślawych strzałkach oraz paru innych szczegółach można się domyślać, kto stoi za tą kampanią. Pamiętacie nakłanianie Polaków do instalacji sterownika LTE i straszenie RODO? Tym razem mamy też pewne urozmaicenie — strona nie pokaże się osobom, które korzystają z User-Agenta innego niż Androidowy. Brawa dla przestępcy za utrudnianie analizy ataku :)

Stracisz pieniądze z konta w banku

Złośliwa aplikacja ma na celu kradzież pieniędzy z konta w banku ofiary. W tym celu prosi m.in o uprawnienia pozwalające na odczytywanie i wysyłanie SMS-ów oraz generowanie “nakładek”:

android.permission.WRITE_SMS
android.permission.CALL_PHONE
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.SYSTEM_ALERT_WINDOW
android.permission.RECEIVE_SMS
android.permission.RECORD_AUDIO
android.permission.SEND_SMS

Jedna z ofiar podesłała nam zdjęcia zainfekowanego telefonu:

Wszedłem na tę stronę — co robić, jak żyć?

Samo wejście na stronę nie stanowi zagrożenia (przynajmniej w tych wariantach stron, które widzieliśmy). Ale mogłoby. Bo zdarzają się takie błędy, które do “czynienia zła” wymagają jedynie wejścia na odpowiednio przygotowaną stronę. Tu, aby stać się ofiarą ataku trzeba zainstalować aplikację (a w niektórych przypadkach wcześniej odpowiednio obniżyć bezpieczeństwo swojego Androida przez włączenie groźnej opcji “instalowania aplikacji spoza zaufanych źródeł“). Proponujemy nigdy tego nie robić.

Jeśli zainstalowałeś tę aplikację, jak najszybciej:

  • wyłącz telefon,
  • przełóż kartę SIM do innego urządzenia i skontaktuj się ze swoim bankiem.
  • pozmieniaj też hasła do wszelkich usług, z jakich korzystałeś na telefonie

…i generalnie traktuj wszystkie dane, które na nim miałeś jako już-nie-tylko-twoje.

Ta kampania, to tylko jeden z przykładów z ataków, jakimi przestępcy obecnie atakują Polaków. Niestety inne “scamy” są bardziej wiarygodne i zbierają niemałe żniwo. Polacy tracą przez nie tysiące złotych. O wszystkich aktualnie stosowanych przez przestępców metodach okradania i oszukiwania Polaków mówimy w trakcie naszego 3 godzinnego wykładu pt. “Jak nie dać się zhackować?“. Ten wykład już niebawem odbędzie się w:

Serdecznie na niego zapraszamy, bo to jedyna okazja aby dostać całą potrzebną osobie korzystającej z internetu wiedzę za jednym razem, “w pigułce”. Jeśli chcielibyście poznać opinie uczestników poprzednich edycji tego wykładu i poznać szczegółową agendę, to kliknijcie tutaj.

IOC Kampanii

Wykorzystywane domeny i adresy IP, które radzimy wyciąć na firmowych MDM-ach i firewallach:

odbierzpaczke[.]com
kod-paczk[.]com
inpost1[.]tk
inpost1[.]ml

213.252.244.170 (RevDNS: 6369-12974.bacloud.info)
138.68.93.148 (DigitalOcean)
165.227.130.152 (DigitalOcean)
104.248.29.123 (DigitalOcean)
104.248.29.145

Aplikacja:
MD5 3d129295b94fcb2e26e80190d667ffaf
SHA-1 3864d98e06a0812a14197db7ee913f4e94d1aee0

Co ciekawe, pierwszy z adresów IP w 2016 roku servował Viruta (ecfc3ce2541b7787b5d230c4a153985556502c5b82e28e243ca645078978a837). Czyżby z tego powodu atakujący przepiął go na inny IP po paru chwilach?

Dziękujemy kilkudziesięciu Czytelnikom, którzy przesłali nam informacje w sprawie tego ataku. Jeśli Ty też otrzymałeś tego SMS-a, ale z inną domeną, daj nam znać.

Przeczytaj także:

59 komentarzy

Dodaj komentarz
  1. Naczytali się Hashtag’u od R.Mroza.

  2. Dzien dobry!
    Mamy dla Ciebie paczke.
    Prosimy potwierdzic tutaj: http://pp6[.]ltd/3u0Ac7

    • Ja dostaje z linkiem p97[.]ltd/3u0AAR (też http)

  3. O właśnie taką dostałem. Niezły cwaniak :)

  4. Właśnie dostałem wiadomość od TEST z linkiem do inpost1.ml

    • Wieczorna fala? też dostałem o 22:43 (TEST / inpost1.ml)

    • Ja dostałem takiego samego sms’a wczoraj o 20:27

  5. W piątek zrobiłem 2 zakupy na allegro, oba z przesyłką na paczkomat. Dzisiaj dostałem dwa smsy (w odstępie ok 25 min) z linkiem do inpost1[.]ml. Przypadek? :) Jedyna różnica względem informacji z artykułu – jako nadawca wyświetlił się ‘TEST’

  6. Tak, włącz bezpieczne źródła, wyłącz antywirusa, włącz root’a – poniżej instrukcja. A tak w ogóle to wyślij mi jeszcze 20tys. zł.

    • W sumie nie musisz wysyłać tych 20000zł. Sam sobie wyślę.

  7. Czy ktoś ma koncepcję, po co deweloperzy Androida pozostawiają opcję instalacji oprogramowania z nieznanych źródeł łatwo dostępną dla zwykłych użytkowników? Nie wystarczy, że Google Play jest słabo moderowany i pełen śmiecia?

    • Bo Android z założenia jest “wolnym” systemem, w którym użytkownik może instalować co chce, a nie tylko to na co pozwoli producent ;) Zdaje się że to główny argument przeciwko iOS, który nie pozwala na instalację złośliwych aplikacji (i jakichkolwiek innych) spoza sklepu.

    • Niektóre firmy wewnętrzne apki dystrybuują po prostu przez instalki do uruchomienia z maila, chmury firmowej albo pendrajwa. MS wymaga, by .appx był podpisany ważnym certem przed instalacją (może być deweloperski, pod warunkiem że urządzenie ma włączony developer mode – w przeciwnym razie musi być w cert storze urządzenia jako zaufany z własnością “podpisywanie kodu”), w androidowcach walidacja podpisu .apk jest opcjonalna i zależy od ustawienia domyślnie niewyświetlanego nikomu, ale edytowalnego z poziomu sqlite3 po adb-shellu. Co i tak nic nie utrudnia, bo apki typu SignAPK są szeroko dostępne. No ale tu kolejny raz wygrywają niektóre nieoficjalne romy, bo CyanogenMod/LineageOS mają takie rzeczy jak odbieranie uprawnień apkom nawet pomimo ich “wymagania”.

    • Z tej opcji też korzystają na co dzień, programiści do testowania aplikacji przez Fabrica. Poza tym w Oreo jest możliwość tego ustawienia dla każdej aplikacji osobno i nie jest już to ustawieniem globalnym.

  8. Co zrobić jeśli już zainstalowało się takie oprogramowanie na telefon? Odmówiłem wszystkie dostepy o jakie prosiła aplikacja i przełożyłem od razu kartę SIM do innego telefonu. Następnie sformatowałem telefon, wyczyściłem go do 0. Czy to powinno załatwić sprawę?

    • Nie ma jednoznacznej odpowiedzi. Na pewno powinieneś zmienić wszystkie hasła, które mogłeś mieć zapisane w telefonie.

    • Jaki model? Może jest nowocześniejszy i lepszy nieoficjalny rom do niego?

    • Huawei P8 Lite

  9. Jak w ogóle ten spam miał mój numer telefonu? Coś wyciekło z InPostu?

    • Do mnie dzisiaj dzwonili naciągacze na pośredników giełdowych, mając numer “wycieknięty” z bazy jakiegoś spamera, więc może po prostu wymieniają się bazami? :p

  10. Też przed chwilą dostałem wiadomość od TEST z linkiem do inpost1.ml

  11. Właśnie dostałem wiadomość od TEST z linkiem do inpost1.ml

  12. Też dostałem sms z linkiem inpost1.ml od TEST jednak nie otwierałem linku natomiast wszedłem na stronę z poziomu przeglądarki na smartfonie, nie zainstalowało się nic ani pobrało. Czy w tym wypadku mogę być spokojny ?

  13. Też to przed chwilą dostałam TEST i link j.w.

  14. pierwsza lampka ostrzegawcza to http a nie https w linku. W dobie Let’s encrypt wygląda to żałośnie

    • A druga, to tekst “Zainstaluj aplikacje”. Warto było zakuwać ten j.polski.

  15. Też właśnie dostałem sms od TEST. Nie kupowałem nic w sklepach internetowych i na aledrogo przez ostatnie tygodnie, ale dzisiaj po południu płaciłem pierwszy raz BLIKiem (na stacji benzynowej). Zastanawiam się czy to może mieć jakiś związek.

    • To nie ma związku, ale nie wiadomo skąd mieli bazę numerów

  16. Mnie przyszło, dla odmiany, takie coś:

    Wysylka pod wskazany adres jest drozsza. Prosimy doplacic 1PLN, brak doplaty oznacza anulowanie zamowienia.
    http://pk999[.]pl/1

  17. Ludzie przecież to widać na kilometr która wiadomość jest prawdziwa a która nie, po za tym nie mając pewności czy faktycznie masz jakąś paczkę wystarczy wejść na maila i zobaczyć czy inpost wysłał maila z kodem odbioru. Jestem pracownikiem tej firmy i z własnego doświadczenia wiem że choćby nawet to kurier paczkomat doładowywuje max do 12-13 chyba że jest przepełniony to może być później. Trochę zdrowego rozsądku i mniej chytrosci że a nóż ktoś się pomylił i wpisał mój numer telefonu więc za darmo mam paczkę.

  18. Zastanawiam się, czy w takim razie INPOST nie dał ciała jako administrator według RODO.

    • Nie, InPost nie ponosi żadnych konsekwencji, bo mu nic nie wyciekło, tylko ktoś się pod niego podszywa. InPost jest tutaj również poszkodowany, bo ktoś narusza jego wizerunek do czynienia zła.
      Jak widać po komentarzach, numery musiały wyciec skądinąd. Operator? Jakaś usługa? Przy dużej bazie numerów istnieje jakieś prawdopodobieństwo, że padnie akurat na osobę, która akurat czeka na paczkę.

      Proponuję przeprowadzić ankietę – jakie ostatnio mieliście telefony marketingowe? Może dzwonili do Was np. z nową ofertą abonamentową na bulbulator, bo stara Wam już wygasa. Nic podejrzanego, bo korzystacie z niego, ale przy okazji pracownik Call Center mógł sobie na boku zapisać numer.
      Zdarzały się już przecież przypadki odsprzedaży danych osobowych przez rządnych chęci pracowników Call Center.

      PS. Jak dzwonią do mnie z marketingu, pytam się, skąd mają numer? Zawsze pada odpowiedź – wylosowany! Jak? Jest 10^9-1 opcji numerów i trafienie na działający musi kosztować dużo wysiłku. Niestety zawsze podają nieistniejące adresy email do administratora danych osobowych.

    • SMS dostawali nie tylko klienci Inpostu.
      Za to nie wiem czy pamiętasz o FB na ten przykład ;)

  19. Ale z prawdziwego inpostu link do QR kod-u paczki jest również bez SSL…zwykły http

    • Jak wejdziesz w ten link juz masz kod QR na https.

  20. a u mnie takie coś
    https://zapodaj.net/07e627fd6ec04.jpg.html

  21. Pomóżcie jak odratować telefon w takiej sytuacji? Samsung galaxy j5

  22. Chyba idzie druga fala, tym razem z Media Markt…

  23. A jakiś pomysł skąd wzięli numery?

    • Olx, neo24 i inne – zresztą, jakie to ma znaczenie – numer telefonu traktuj zawsze jako publicznie dostępny :)

  24. A czemu nikt nie mówi, że w prawdziwych SMS’ach od Inpostu jest również symbol paczkomatu i jego adres? I jak tu się nabrać?

  25. Czy znacie może system, w którym można zasubskrybować do bardziej ustrukturyzowanych komunikatów o adresach C&C i payloadów, które wykorzystuje obecnie obserwowany malware?
    Jeśli nie ma czegoś takiego, to może Niebezpiecznik odpaliłby np RSS lub newslettera który zawierał by te adresy w postaci łatwo parsowalnej?

    • Udostępniamy takie feedy naszym klientom (jest to usługa płatna, ale zawiera jeszcze więcej danych niż to co publikujemy i są one dostępne szybciej). Jeśli jesteś zainteresowany rzuć e-maila z adresu firmowego na monitoring[]niebezpiecznik.pl

  26. Dzisiaj otrzymałem taki sam sms. Link do strony sprawdz12.tk

  27. dostałam przed chwilą sms o paczce…domena sprawdz12.tk

  28. Ja właśnie dostałem smsa:
    nadawca: SMS
    Link do aplikacji: https://sprawdz12[.]tk

  29. Nowy IOC sprzed chwili:
    Nadawca “SMS”

    Twoja paczka juz czeka na odebranie, pobierz aplikacje wygeneruj kod i wyjmij paczke. Link do aplikacji:
    https://sprawdz12[.]tk

  30. Właśnie dostałem smsa od treści:

    “Twoja paczka juz czeka na odebranie, pobierz aplikacje wygeneruj kod i wyjmij paczke. Link do aplikacji: sprawdz12.tk”

    Nadawca SMS i nie można podejrzeć numeru ani na niego odpowiedzieć.

  31. Nowa zakupiona domena:
    sprawdz12.tk

  32. Właśnie dostałem takiego SMSa z adresem sprawdz12.tk. Żeby było ciekawiej, to dostałem go ok. 2 godziny po tym, jak dostałem faktyczną wiadomość o paczce z UPSu.

  33. Bezmyślnie kliknąłem w link (sprawdz12.tk) ale się nie otworzył w połowie ładowania pasek zatrzymał się. Zorientowałem się i zakończyłem ładowanie. Czy mam się czegoś obawiać?

  34. Właśnie dlatego ch*je z Fortnite promujący instalowanie aplikacji ze swojego źródła, żeby ominąć opłatę dla Play Store są grożni, bo normalizują taka praktykę.

  35. Czy ktoś z powyższych zgłaszał sprawę gdzieś dalej? Wiadomo kto to jest?

  36. Sms z dzisiaj do mojego chłopaka

    “Witam paczka czeka na odbior sprawdz jej status na naszej stronie http://paczkomaty[.]tk/inpost/

  37. Witam. Jeśli kliknąłem tylko na śledzenie przesyłki, a nie na pobierz aplikację, to mam się bać? Żeby ta aplikacja się ściągnęła musi wyskoczyć okienko z udzielaniem dostępu do wszystkiego, a potem musi być widać, że coś się ściąga? U mnie po kliknięciu w śledzenie paczki wyskoczyło jakieś okienko, które od razu się zminimalizowalo. Dodam, że nie mam zgody na pobieranie aplikacji z zewnątrz.

  38. To ja czegoś nie rozumiem. Przecież te prawdziwe smsy z inpost wychodzą z bramki SMSC, i nie można takiego numeru zapisać w książce bo go nie znamy.
    Więc jak te fałszywe się grupuja z tymi prawdziwymi?
    Operatorzy zezwalaja na podmiane nadawcy?
    Może ich trzeba przycisnac?

  39. Kurde, dostałem link do inpost1.tk i jak debil kliknąłem. Przekierowało mnie na jakąs stronę do płacenia cos w stylu dot pay (chyba zresz6tą było tam logo dot pay) ale cozywiście nic nie przelałem i od razu zamknąłem safari. Czy myślicie, że muszę resetwac hasła itp.
    mam iphona 6s plus?

  40. Dzis dostalam dwa sms od inpost ze mam doplacic 1 zl wczoraj dostalam od operator ze doplacic za rachunek telfoncizny

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.