Oszuści próbują nakłaniać do instalacji fałszywego mObywatela

CERT informuje o fałszywej kampania wymierzoną w użytkowników telefonów z systemem Android, której celem jest infekcja złośliwym oprogramowaniem z rodziny Alien.

Oszuści rozsyłają wiadomości SMS, których nadawcą jest M0BYWATEL. W treści znajduje się link do fałszywej strony sklepu Google Play, na której można pobrać rzekomą aplikację mObywatel. Strona do złudzenia przypomina stronę z aplikacją w sklepie z aplikacjami na Androida, ale link nie przenosi do aplikacji Sklepu Play, tylko otwiera się w przeglądarce internetowej pod adresem m-obywatel.pl. Ten URL nie jest już aktywny a w rejestrze DNS ma zapis „Trwa postępowanie wyjaśniające [REGISTERED, ze statusem clientHold/serverHold]”, ponieważ była zwykłym oszustwem i została zablokowana.

Pamiętaj, że oszuści mogą wykorzystać ten mechanizm dla dowolnej aplikacji – np. banku, sklepu internetowego, czy nawet operatora komórkowego!

Po kliknięciu na przycisk Zainstaluj użytkownik pobierał plik fałszywego instalatora APK, a po zainstalowaniu fundował sobie trojana bankowego z rodziny Alien, który jest mutacją popularnego Cerberusa i pozwala między innymi na wyświetlanie tzw. nakładek. Dzieje się tak na przykład w przypadku korzystania z aplikacji bankowych, gdzie wpisywane poświadczenia logowania trafiają automatycznie do złodziei.

Niestety Alien potrafi znacznie więcej, ponieważ przekazuje przestępcom także nasze wiadomości SMS (m.in. z kodem do przeprowadzenia transakcji bankowej). Poza tym umie jeszcze parę innych drobiazgów – zapisywać naciśnięcia przycisków, czy przechwytywać dane lokalizacyjne z naszego smartfona. Jednym słowem, takiego smartfona trzeba od razu zresetować i pozbyć się trojana.

Po instalacji złośliwa aplikacja uzyskuje możliwość wykradania danych logowania do serwisów bankowych, serwisów społecznościowych czy serwisów związanych z kryptowalutami. A to tylko niektóre z przykładów.

Po lewej – fałszywa strona z trojanem, Po prawej – zrzut ekranu z prawdziwego sklepu Google Play
Po lewej – fałszywa strona z trojanem | Po prawej – zrzut ekranu z prawdziwego sklepu Google Play

Jak nie dać się nabrać?

Należy zawsze zachować ostrożność w przypadku wiadomości reklamowych lub takich, które nakłaniają nas do pobrania, bądź zainstalowania aplikacji.

  1. Nigdy nie klikaj w skrócone lub nieznane linki w wiadomościach SMS. Czasem link może wydać Ci się znajomy, ale sprytna literówka w adresie URL już może zaprowadzić Cię na stronę podszywającą się pod bank, instytucję rządową lub inny znany Ci serwis (np. sklep internetowy, kurier, OLX czy Allegro).
  2. Nie instaluj aplikacji z nieznanych źródeł! Sprawdzaj aplikacje przed instalacją na swoim telefonie, oraz dewelopera, który ją zamieścił w sklepie Play.
  3. Sprawdzaj dokładnie adres strony, który widoczny jest w pasku przeglądarki.
  4. Zachowaj zdrowy rozsądek i nie działaj pochopnie. Jeśli masz wątpliwości lepiej skontaktuj się z rzekomym nadawcą, aby potwierdzić prawdziwość wiadomości.
  5. Kasuj podejrzane wiadomości, nakłaniające do instalacji aplikacji lub kliknięcia w aktywny link.

źródło: CERT | Orange