CERT informuje o fałszywej kampania wymierzoną w użytkowników telefonów z systemem Android, której celem jest infekcja złośliwym oprogramowaniem z rodziny Alien.
Oszuści rozsyłają wiadomości SMS, których nadawcą jest M0BYWATEL. W treści znajduje się link do fałszywej strony sklepu Google Play, na której można pobrać rzekomą aplikację mObywatel. Strona do złudzenia przypomina stronę z aplikacją w sklepie z aplikacjami na Androida, ale link nie przenosi do aplikacji Sklepu Play, tylko otwiera się w przeglądarce internetowej pod adresem m-obywatel.pl
. Ten URL nie jest już aktywny a w rejestrze DNS ma zapis „Trwa postępowanie wyjaśniające [REGISTERED, ze statusem clientHold/serverHold]
”, ponieważ była zwykłym oszustwem i została zablokowana.
Pamiętaj, że oszuści mogą wykorzystać ten mechanizm dla dowolnej aplikacji – np. banku, sklepu internetowego, czy nawet operatora komórkowego!
Po kliknięciu na przycisk Zainstaluj użytkownik pobierał plik fałszywego instalatora APK, a po zainstalowaniu fundował sobie trojana bankowego z rodziny Alien, który jest mutacją popularnego Cerberusa i pozwala między innymi na wyświetlanie tzw. nakładek. Dzieje się tak na przykład w przypadku korzystania z aplikacji bankowych, gdzie wpisywane poświadczenia logowania trafiają automatycznie do złodziei.
Niestety Alien potrafi znacznie więcej, ponieważ przekazuje przestępcom także nasze wiadomości SMS (m.in. z kodem do przeprowadzenia transakcji bankowej). Poza tym umie jeszcze parę innych drobiazgów – zapisywać naciśnięcia przycisków, czy przechwytywać dane lokalizacyjne z naszego smartfona. Jednym słowem, takiego smartfona trzeba od razu zresetować i pozbyć się trojana.
Po instalacji złośliwa aplikacja uzyskuje możliwość wykradania danych logowania do serwisów bankowych, serwisów społecznościowych czy serwisów związanych z kryptowalutami. A to tylko niektóre z przykładów.
Jak nie dać się nabrać?
Należy zawsze zachować ostrożność w przypadku wiadomości reklamowych lub takich, które nakłaniają nas do pobrania, bądź zainstalowania aplikacji.
- Nigdy nie klikaj w skrócone lub nieznane linki w wiadomościach SMS. Czasem link może wydać Ci się znajomy, ale sprytna literówka w adresie URL już może zaprowadzić Cię na stronę podszywającą się pod bank, instytucję rządową lub inny znany Ci serwis (np. sklep internetowy, kurier, OLX czy Allegro).
- Nie instaluj aplikacji z nieznanych źródeł! Sprawdzaj aplikacje przed instalacją na swoim telefonie, oraz dewelopera, który ją zamieścił w sklepie Play.
- Sprawdzaj dokładnie adres strony, który widoczny jest w pasku przeglądarki.
- Zachowaj zdrowy rozsądek i nie działaj pochopnie. Jeśli masz wątpliwości lepiej skontaktuj się z rzekomym nadawcą, aby potwierdzić prawdziwość wiadomości.
- Kasuj podejrzane wiadomości, nakłaniające do instalacji aplikacji lub kliknięcia w aktywny link.
źródło: CERT | Orange