Kolejny atak, w którym przestępcy podszywają się pod firmę kurierską DHL

Za pomocą fałszywej strony DHL przestępcy nakłaniają do instalacji złośliwej aplikacji o nazwie Certyfikat. Za jej pomocą wyłudzane są dane logowania do bankowości oraz dane kart płatniczych.

Kolejny atak, w którym przestępcy podszywają się pod firmę kurierską DHL

Ataki z wykorzystaniem wizerunku firmy kurierskiej DHL co jakiś czas powracają. Opisywaliśmy już rozsyłane przez przestępców wiadomości spam podszywające się pod tą firmę, przeczytaj artykuł.

Aktualnie możemy znaleźć fałszywą stronę podszywającą się pod DHL, na której do pobrania jest złośliwa aplikacja.

Aplikacja była dostępna do pobrania pod adresem:
hxxp://pierwszapaczkadhl.info

Cyberprzestępcy prawdopodobnie wysyłają wiadomości SMS z linkiem do podanej strony. Po wejściu pod wskazany adres widzimy logotyp firmy DHL. Strona podszywa się pod znaną firmę kurierską, nawet w adresie strony wykorzystuje jej nazwę. Ma to uwiarygodnić cały atak, tak aby ofiara nie miała żadnych podejrzeń, że strona jest fałszywa.

Komunikat jaki widzimy po wejściu na stronę informuje, że możemy nadać przesyłkę za pośrednictwem firmy DHL zupełnie za darmo. Wystarczy jedynie zainstalować aplikację.

1_paczkadhl

Aby zainstalować aplikację, należy włączyć opcję instalacji aplikacji z nieznanych źródeł. Cyberprzestępcy na stronie umieścili instrukcję, jak to zrobić. Dodali nawet zdjęcie z włączoną opcją.

Jeśli ktoś już wcześniej nie zorientował się, że padł ofiarą ataku, to komunikat o włączeniu opcji instalacji aplikacji z nieznanego źródła powienien dać mu do myślenia.

Przesuwając stronę w dół możemy zobaczyć krótką instrukcję instalacji aplikacji oraz zdjęcia, które są małe i nieczytelne. Zapewne zostały tam umieszczone jedynie po to, aby zapełnić zawartość strony i sprawić wrażenie jej autentyczności.

Cała strona nie została zbyt starannie przygotowana. Zobacz zdjęcia poniżej.

2_paczkadhl

Aplikacja pobierana jest automatycznie po wejściu na stronę. Podczas instalacji będzie żądała następujących uprawnień:

  • odczytywanie kontaktów
  • modyfikowanie i usuwanie zawartości pamięci USB
  • odczytywanie zawartości pamięci USB
  • odbieranie wiadomości tekstowych (SMS)
  • odczytywanie wiadomości tekstowych (SMS i MMS)
  • wysyłać i wyświetlać SMS-y
  • modyfikowanie ustawień systemu
  • bezpośrednie wybieranie numerów telefonów
  • odczytywanie stanu informacji o telefonie
  • wykonywanie/odbieranie połączeń SIP

3_instalacja

Jak możemy zauważyć na zdjęciach, pobrana aplikacja nazywa się Certyfikat, a jej logo to zielona tarcza. Zarówno nazwa, jak i logo nie wskazują, że instalujemy aplikację do nadawania przesyłek. Tym bardziej aplikację firmy kurierskiej DHL.

Po zainstalowaniu aplikacji Certyfikat żąda ona aktywacji administratora urządzenia. Po zaakceptowaniu tych żądań aplikacja będzie mogła m.in. blokować ekran.

4_administarator

Aplikacja atakuje w momencie wykrycia aktywnej aplikacji bankowości. Atak polega na wyświetleniu fałszywych nakładek logowania.

Wpisane dane autoryzacyjne natychmiast przesyłane są do serwera przestępców. Złośliwa aplikacja podczas instalacji żądała dostępu do odczytywania wiadomości SMS. W ten sposób przestępcy mogą przejąć również kody SMS wysyłane z banku.
Zgromadzone dane pozwolą im zalogować się do konta bankowego ofiary. Przechwycone hasła SMS dają możliwość m.in. zlecenia nieautoryzowanego przelewu.

5_banki

Wśród celów złośliwej aplikacji znajduje się m.in. aplikacja Google Play. Jeśli zainfekowany użytkownik ją uruchomi pojawi się nakładka z formularzem wyłudzającym dane karty płatniczej. W kolejnych etapach ataku wyłudzane są dodatkowe dane, m.in. imię i nazwisko, data urodzenia, czy adres.

Tak wyglądają fałszywe nakładki wyświetlane po uruchomieniu aplikacji Google Play.

6_play

Złośliwa aplikacja po przechwyceniu danych logowania jest w stanie zablokować dostęp do telefonu poprzez ustawienie hasła. W takiej sytuacji jedynym rozwiązaniem jest przywrócenie urządzenia do ustawień fabrycznych.

7_blokada

Jeśli w telefonie masz włączoną usługę Play Protect, złośliwa aplikacja zostanie zablokowana. Pojawi się komunikat, że aplikacja jest fałszywa i może wykradać poufne dane.

8_protect

Pobierając aplikacje na swój telefon korzystaj jedynie ze sprawdzonych i zaufanych źródeł, jak Sklep Play. Pamiętaj, że aplikacje pochodzące z nieznanych źródeł mogą być niebezpieczne i zawierać złośliwe oprogramowanie, za pomocą którego przestępcy wykradną Twoje poufne dane i przejmą kontrolę nad Twoim telefonem. W ustawieniach swojego telefonu wyłącz opcję pobierania aplikacji z nieznanych źródeł i nigdy jej nie włączaj. Może Cię to uchronić przed atakami cyberprzestępców.

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.