Na stronie widzimy komunikat z fałszywą informacją, że aby wyświetlić zawartość strony, należy uaktualnić odtwarzacz Adobe Flash Player. Jak czytamy dalej, rzekoma aktualizacja ma zająć nie więcej niż 2-3 minuty i jest całkowicie darmowa.

Dodatkowo, na stronie cyberprzestępcy zamieścili komunikat, który ma spowodować, że potencjalna ofiara nie będzie miała wątpliwości, iż powinna zaktualizować swój odtwarzacz:
"Późne aktualizacje mogą prowadzić do utraty informacji, często cyberprzestępcy blokują urządzenia mobilne i wysyłają SMS-y na numery premium!"

Po wejściu na stronę następuje automatyczne pobieranie pliku, który ma służyć instalacji aktualizacji. W rzeczywistości jest to plik o rozszerzeniu .apk, czyli pobierana jest aplikacja na system Android. W komunikacie, który widzimy poniżej znajduje się ostrzeżenie, pochodzące z przeglądarki mobilnej Google Chrome, że plik może wyrządzić szkody na urządzeniu.

Pobrany plik, który miał służyć rzekomej aktualizacji w rzeczywistości jest złośliwą aplikacją o nazwie Update Flash Player. Aplikacja zawiera złośliwe oprogramowanie RedAlert i podczas instalacji wymaga wielu uprawnień, których żądanie może wzbudzać obawy:

• odczytywanie kontaktów
• odbieranie wiadomości tekstowych (MMS)
• odbieranie wiadomości tekstowych (SMS)
• odczytywanie wiadomości tekstowych (SMS i MMS)
• wysyłać i wyświetlać SMS-y
• rysowanie na innych aplikacjach
• bezpośrednie wybieranie numerów telefonów
• czytanie rejestru połączeń
• odczytywanie stanu i informacji o telefonie

Złośliwe oprogramowanie RedAlert na system Android opisywaliśmy w artykule
https://sirt.pl/wiadomosci-spam-wykorzystywane-do-infekcji-komputera-i-telefonu/

Po zainstalowaniu aplikacja Update Flash Player żąda także aktywacji administratora urządzenia, co pozwoli jej na wykonywanie następujących operacji:
- Monitoruj próby odblokowani ekranu
Przy odblokowywaniu ekranu monitoruje, ile razy wpisano nieprawidłowe hasło, i blokuje telefon lub usuwa z niego wszystkie dane, jeśli nieprawidłowe hasło podano zbyt wiele razy
- Blokowanie ekranu
Kontrolowanie sposobu i warunków blokowania ekranu
- Ustaw czas ważności hasła blokady ekranu
Zmiana częstotliwości, z jaką należy zmieniać hasło blokady ekranu, kod PIN lub wzór.

Po kliknięciu AKTYWUJ aplikacja jest widoczna jako administrator urządzenia. Wszelkie próby dezaktywacji tej funkcji będą skutkowały wyświetlaniem się komunikatu z ponownym żądaniem aktywacji. W praktyce oznacza to, że dezaktywacja tej fuknkcji jest niemożliwa.

Zobacz jak możesz sprawdzić, które aplikacje posiadają uprawnienia administratora w Twoim telefonie https://sirt.pl/zlosliwe-oprogramowanie-jako-admin/.

Aplikacja po zainstalowaniu i nadaniu jej uprawnień administratora urządzenia działa w tle. Atak rozpoczyna się w momencie, gdy na zainfekowanym urządzeniu zostanie uruchomiona oryginalna aplikacja bankowości, która jest celem ataku. Wówczas wyświetla się nakładka, która wykorzystuje logotyp banku. W ten sposób wyłudzane są dane logowania do bankowości.

Zobacz, jak wyglądają nakładki wyśietlane przez złośliwą aplikację Update Flash Player na wybranych bankowościach mobilnych.

Nakładki wyświetlane są na wierzchu uprzednio uruchomionej aplikacji bankowej, dlatego można odnieść wrażenie, że logujemy się do oryginalnej aplikacji swojej bankowości.

W podglądzie uruchomionych aplikacji widzimy uruchomioną oryginalną aplikację bankową oraz złośliwą aplikację Update Flash Player z fałszywą nakładką na bankowość.
W momencie ataku użytkownik widzi fałszywą nakładkę i jeśli wpisze login i hasło, to nie zaloguje się do bankowości. Dane zostaną natychmiast przechwycone przez przestępców.

Podsumowanie

Pobierając aplikacje na swój telefon korzystaj jedynie z zaufanych źródeł, jak Sklep Google Play. Pamiętaj, że aplikacje pochodzące z nieznanych źródeł mogą być niebezpieczne i zawierać złośliwe oprogramowanie, za pomocą którego przestępcy wykradną Twoje poufne dane i przejmą kontrolę nad Twoim telefonem.