Logotyp firmy kurierskiej DHL jest regularnie wykorzystywany przez cyberprzestępców w ich kampaniach spam. Opisywaliśmy już ataki, w których masowo były rozsyłane wiadomości email rzekomo pochodzące od firmy DHL. Wówczas do wiadomości załączane były fałszywe faktury. Po pobraniu i uruchomieniu plików na komputerze pobierane było złośliwe oprogramowanie Vawrak.

Więcej o tym ataku przeczytasz w naszym artykule:
https://sirt.pl/agencja-celna-dhl-uwaga-niebezpieczny-spam/

Później przestępcy stworzyli fałszywą stronę firmy DHL, gdzie do pobrania była złośliwa aplikacja - Certyfikat. Za jej pomocą przestępcy wyłudzali dane logowania do bankowości mobilnych.

Przeczytaj więcej o tym ataku https://sirt.pl/zlosliwa-aplikacja-certyfikat/

Aktualnie, cyberprzestępcy udoskonalili atak. W dalszym ciągu nakłaniają do instalacji złośliwej aplikacji poprzez fałszywą stronę firmy DHL, jednak pobrana aplikacja może sprawiać wrażenie oryginalnej, a to za sprawą ikonki, która wygląda jak logo DHL.

Aplikacja DHL-Paczka

Aplikacja DHL-Paczka była dostępna do pobrania pod adresem:
hxxp://aplikacjadhl.pl/app/

Cyberprzestępcy rozsyłali wiadomości SMS z linkiem do jej instalacji. Treść wiadomości zawierała informację, że instalacja aplikacji jest konieczna, aby potwierdzić adres. Chodzi o adres dostawy zamówienia złożonego w jednym z fałszywych sklepów internetowych.

Jeden z takich sklepów opisywaliśmy na naszym blogu. Wówczas rozsyłane były wiadomości SMS z linkiem do strony phishing.

Przeczytaj więcej o tym ataku w naszym artykule i dowiedz się, jak można rozpoznać fałszywy sklep internetowy oraz na co zwracać szczególną uwagę podczas robienia zakupów w internecie.
https://sirt.pl/falszywy-sklep-z-elektronika/

SMS z linkiem po pobrania aplikacji DHL-Paczka:

Po kliknięciu pod wskazany w wiadomości adres zostajemy przekierowani do fałszywej strony DHL, skąd można pobrać aplikację. Automatycznie wyświetla się komunikat o pobieraniu aplikacji, który należy zatwierdzić.

Strona hxxp://aplikacjadhl.pl/app/ została przygotowana tak, aby potencjalna ofiara nie miała żadnych wątpliwości, że coś jest nie tak. Domena zawiera nazwę firmy kurierskiej DHL, a na stronie znajduje się jej logo. Na zdjęciu poniżej widzimy również informację, że pobrana aplikacja jest w wersji deweloperskiej. Ma to przekonać użytkownika, że pobrana przez niego aplikacja jest oryginalna.

Poniżej znajduje się instrukcja instalacji aplikacji. Aby to zrobić należy włączyć opcję instalacji aplikacji z nieznanych źródeł.

Pamiętaj, aby nie instalować aplikacji nieznanych źródeł, ponieważ mogą one zawierać złośliwe oprogramowanie, za pomocą którego przestępcy wykradną Twoje poufne dane i przejmą kontrolę nad Twoim telefonem.

Na stronie znajduje się informacja, że włączenie opcji instalacji aplikacji z nieznanych źrodeł jest konieczne, aby instalować najnowsze aplikacje DHL, których nie ma jeszcze w oficjalnym sklepie.

Cyberprzestępcy przewidują również sytuację, że aplikacja zostanie wykryta przez program antywirusowy zainstalowany na urządzeniu mobilnym. Na stronie znajduje się informacja, że w takim przypadku należy odinstalować program antywirusowy, ponieważ aplikacja rzekomo nie ma jeszcze certyfikatu i może być błędnie wykrywana.

Podczas instalacji aplikacja DHL-Paczka żąda następujących uprawnień:

• odczytywanie kontaktów
• dokładna lokalizacja (na podstawie sygnału GPS i sieci)
• modyfikowanie i usuwanie zawartości pamięci USB
• usuwanie zawartości pamięci USB
• odbieranie wiadomości tekstowych (SMS)
• odczytywanie wiadomości tekstowych (SMS i MMS)
• wysyłać i wyświetlać SMS-y
• modyfikowanie ustawień systemu
• bezpośrednie wybieranie numerów telefonów
• odczytywanie stanu i informacji o telefonie

Po zainstalowaniu aplikacji DHL-Paczka, w informacjach możemy zobaczyć, że ma ona dostęp do kontaktów, lokalizacji, pamięci, wiadomości SMS oraz telefonu. W ten właśnie sposób przestępcy mogą przechwycić kody autoryzacyjne z banku.

W chwili uruchomienia aplikacji DHL-Paczka żąda ona aktywacji administratora urządzenia, dzięki czemu będzie mogła wykonywać następujące operacje:

• Zmiana blokady ekranu
• Określ reguły hasła
  Kontrolowanie długości haseł blokady ekranu i kodów PIN oraz dozwolonych w nich znaków
• Blokowanie ekranu
  Kontrolowanie sposobu i warunków blokowania ekranu
• Ustaw szyfrowanie pamięci
  Wymaganie szyfrowania przechowywanych danych aplikacji

Próby anulowania administratora urządzenia skutkują ponownym wyświetlaniem żądania. Po aktywacji tej funkcji, aplikacja jest widoczna jako administrator urządzenia.

Aplikacja DHL-Paczka atakuje w momencie wykrycia aktywnej aplikacji bankowości. Atak polega na wyświetleniu nakładek logowania, które wykorzystują logotyp banku.

Przykładowe złośliwe nakładki:

Jak widzimy na zdjęciu powyżej, cyberprzestępcy przy użyciu nakładek wyłudzają dane logowania do bankowości. Po wpisaniu loginu i hasła, złośliwa nakładka znika i widzimy już oryginalną aplikację swojej bankowości

Na zdjęciu poniżej, widzimy nakładkę, gdzie wyłudzany jest login i hasło do bankowości. Po wpisaniu danych oraz kliknięciu Dalej pojawia się ekran główny oryginalnej aplikacji bankowej.

Przy użyciu aplikacji DHL-Paczka, cyberprzestępcy przechwytują również kody SMS wysyłane z banku. Jest to możliwe, ponieważ złośliwa aplikacja podczas instalacji żądała dostępu do odczytywania wiadomości SMS.
Mając login, hasło oraz kody SMS, cyberprzestępcy mogą zalogować się do konta bankowego ofiary. Przechwycone hasła SMS dają im możliwość m.in. zlecenia nieautoryzowanego przelewu.