Sytuacja w zasadzie dzieje się już od kilku/nastu tygodni, o czym pisaliśmy już na stronie CERT Orange Polska (polecam, tam o bezpieczeństwie nie tylko w czwartki 😉 ). Do klientów naszej – i nie tylko – sieci przychodzą fale SMSów, podszywających się pod wiadomości z firmy InPost. Oczywiście z operatorem Paczkomatów nie mają nic wspólnego – celem ich nadawców, jest by na naszych smartfonach wylądował trojan Cerberus.
aaaaAplikacje tylko z oficjalnego sklepu!
Niemal od początku istnienia Androida wszyscy trąbią na lewo i prawo o konieczności instalowania aplikacji wyłącznie z oficjalnego sklepu. Co więcej, z kolejnymi głównymi edycjami pojawiały się coraz bardziej rozszerzone opcje bezpieczeństwa. I co? I ciągle znajdują się ludzie, którzy bez namysłu odklikują „nie instaluj ze źródeł zewnętrznych”, bo… właśnie, w zasadzie dlaczego? Może ktoś wie i podzieli się w komentarzach?
A skoro są tacy ludzie, to przestępcy skwapliwie to wykorzystują, od pewnego czasu biorąc na cel firmę InPost. Operator paczkomatów od jakiegoś czasu, jeśli korzystamy z aplikacji mobilnej, nie wysyła już SMSów, pozostając przy mailach i informacji push w aplikacji. Wciąż jednak sporo osób nie chce/nie umie radzić sobie z aplikacją, przychodzą więc do nich niezmiennie SMSy. Co gorsza – kolejkowane pod prawdziwymi, ze względu na identyczny nadpis (tzn. nazwę nadawcy). W internecie można znaleźć przynajmniej kilka historii osób, które zaufały fałszywym SMSom, co kończyło się zalogowaniem na witrynę, podszywającą się pod bramkę płatności i okradnięciem konta bankowego ofiary.
.
Ataki hybrydowe
W ostatnich tygodniach obserwujemy ataki, które można by określić mianem „hybrydowych”. Z jednej strony dostajemy SMSa, z drugiej zaś – sugerując pobranie aplikacji (bo przecież aplikacji należy ufać, tak jesteśmy uczeni!). Po kliknięciu w link widzimy stronę do złudzenia przypominającą Sklep Play. Z wyjątkiem linków, rzecz jasna. No i wchodząc z telefonu nie jesteśmy przekierowywani – jak zwykle w takich przypadkach – do aplikacji Sklep Google. Dlaczego? Oczywiście dlatego, że nie ma żadnego sklepu!
Oczywiście z aplikacją InPost nie ma to nic wspólnego, a po instalacji (oczywiście wcześniej musimy zgodzić się na instalację z nieznanych źródeł) „wzbogacamy” nasz telefon o malware Cerberus. A ten to wyjątkowy specjalista – od kradzieży najpierw naszych poświadczeń logowania do e-banków, a następnie naszych całych oszczędności.
Lepiej tego nie robić. Nie dajcie się oszukać. Polecamy korzystanie z aplikacji mobilnej (nie tylko w przypadku paczkomatów), a tę prawdziwą, nie podstawioną, weźcie po prostu ze Sklepu Play. Oczywiście 24 godziny na dobę pilnujemy, czy w sieci nie pojawią się nowe wersje „sklepów”, blokując coraz to kolejne.
W ciągu mijającego tygodnia takich stron było kilkanaście!
Jeśli sami chcecie trzymać rękę na pulsie – obserwujcie naszego Twittera, gdzie zaprzyjaźnieni researcherzy regularnie podrzucają nowe IoC (Indicators of Compromise, w tym przypadku po prostu adres stron, udających Sklep Play).
