Kolejny atak, w którym przestępcy podszywają się pod firmę kurierską DHL

PREBYTES Security Incident Response Team -

Ataki z wykorzystaniem wizerunku firmy kurierskiej DHL co jakiś czas powracają. Opisywaliśmy już rozsyłane przez przestępców wiadomości spam podszywające się pod tą firmę, przeczytaj artykuł.

Aktualnie możemy znaleźć fałszywą stronę podszywającą się pod DHL, na której do pobrania jest złośliwa aplikacja.

Aplikacja była dostępna do pobrania pod adresem:
hxxp://pierwszapaczkadhl.info

Cyberprzestępcy prawdopodobnie wysyłają wiadomości SMS z linkiem do podanej strony. Po wejściu pod wskazany adres widzimy logotyp firmy DHL. Strona podszywa się pod znaną firmę kurierską, nawet w adresie strony wykorzystuje jej nazwę. Ma to uwiarygodnić cały atak, tak aby ofiara nie miała żadnych podejrzeń, że strona jest fałszywa.

Komunikat jaki widzimy po wejściu na stronę informuje, że możemy nadać przesyłkę za pośrednictwem firmy DHL zupełnie za darmo. Wystarczy jedynie zainstalować aplikację.

Aby zainstalować aplikację, należy włączyć opcję instalacji aplikacji z nieznanych źródeł. Cyberprzestępcy na stronie umieścili instrukcję, jak to zrobić. Dodali nawet zdjęcie z włączoną opcją.

Jeśli ktoś już wcześniej nie zorientował się, że padł ofiarą ataku, to komunikat o włączeniu opcji instalacji aplikacji z nieznanego źródła powienien dać mu do myślenia.

Przesuwając stronę w dół możemy zobaczyć krótką instrukcję instalacji aplikacji oraz zdjęcia, które są małe i nieczytelne. Zapewne zostały tam umieszczone jedynie po to, aby zapełnić zawartość strony i sprawić wrażenie jej autentyczności.

Cała strona nie została zbyt starannie przygotowana. Zobacz zdjęcia poniżej.

Aplikacja pobierana jest automatycznie po wejściu na stronę. Podczas instalacji będzie żądała następujących uprawnień:

  • odczytywanie kontaktów
  • modyfikowanie i usuwanie zawartości pamięci USB
  • odczytywanie zawartości pamięci USB
  • odbieranie wiadomości tekstowych (SMS)
  • odczytywanie wiadomości tekstowych (SMS i MMS)
  • wysyłać i wyświetlać SMS-y
  • modyfikowanie ustawień systemu
  • bezpośrednie wybieranie numerów telefonów
  • odczytywanie stanu informacji o telefonie
  • wykonywanie/odbieranie połączeń SIP

Jak możemy zauważyć na zdjęciach, pobrana aplikacja nazywa się Certyfikat, a jej logo to zielona tarcza. Zarówno nazwa, jak i logo nie wskazują, że instalujemy aplikację do nadawania przesyłek. Tym bardziej aplikację firmy kurierskiej DHL.

Po zainstalowaniu aplikacji Certyfikat żąda ona aktywacji administratora urządzenia. Po zaakceptowaniu tych żądań aplikacja będzie mogła m.in. blokować ekran.

Aplikacja atakuje w momencie wykrycia aktywnej aplikacji bankowości. Atak polega na wyświetleniu fałszywych nakładek logowania.

Wpisane dane autoryzacyjne natychmiast przesyłane są do serwera przestępców. Złośliwa aplikacja podczas instalacji żądała dostępu do odczytywania wiadomości SMS. W ten sposób przestępcy mogą przejąć również kody SMS wysyłane z banku.
Zgromadzone dane pozwolą im zalogować się do konta bankowego ofiary. Przechwycone hasła SMS dają możliwość m.in. zlecenia nieautoryzowanego przelewu.

Wśród celów złośliwej aplikacji znajduje się m.in. aplikacja Google Play. Jeśli zainfekowany użytkownik ją uruchomi pojawi się nakładka z formularzem wyłudzającym dane karty płatniczej. W kolejnych etapach ataku wyłudzane są dodatkowe dane, m.in. imię i nazwisko, data urodzenia, czy adres.

Tak wyglądają fałszywe nakładki wyświetlane po uruchomieniu aplikacji Google Play.

Złośliwa aplikacja po przechwyceniu danych logowania jest w stanie zablokować dostęp do telefonu poprzez ustawienie hasła. W takiej sytuacji jedynym rozwiązaniem jest przywrócenie urządzenia do ustawień fabrycznych.

Jeśli w telefonie masz włączoną usługę Play Protect, złośliwa aplikacja zostanie zablokowana. Pojawi się komunikat, że aplikacja jest fałszywa i może wykradać poufne dane.

Pobierając aplikacje na swój telefon korzystaj jedynie ze sprawdzonych i zaufanych źródeł, jak Sklep Play. Pamiętaj, że aplikacje pochodzące z nieznanych źródeł mogą być niebezpieczne i zawierać złośliwe oprogramowanie, za pomocą którego przestępcy wykradną Twoje poufne dane i przejmą kontrolę nad Twoim telefonem. W ustawieniach swojego telefonu wyłącz opcję pobierania aplikacji z nieznanych źródeł i nigdy jej nie włączaj. Może Cię to uchronić przed atakami cyberprzestępców.