hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
30 października 2025 11:26

Od niegroźnych aplikacji „inwestycyjnych” w Google Play do złośliwych powiadomień

Zespół CERT Orange Polska
edukacja Fałszywe inwestycje

Google Play i fałszywe aplikacje? Mimo, iż mobilny gigant dba o czystość swojego sklepu, oszustom czasami udaje się przemycić do niego pozornie niegroźne treści. A co zrobić, by wykorzystać je przeciwko internautom? Kluczem okazują się… powiadomienia push! W ostatnim czasie CERT Orange Polska zauważył wzmożoną aktywność cyberprzestępców, wykorzystujących ten sposób do kampanii na fałszywe inwestycje.

Najnowszy trend wykorzystywany przez sieciowych oszustów to kolportowanie pozornie niezłośliwych aplikacji przy użyciu popularnych platform reklamowych. CERT Orange Polska obserwuje w ostatnim czasie serię podobnych do siebie ataków. Przestępcy wykorzystując platformę reklamową UnityAds rozpowszechniają w sklepie Google Play fałszywe aplikacje inwestycyjne podszywające m.in. się pod markę Orlen.

Na początku – reklama

UnityAds to jedna z największych platform reklamowych dla aplikacji mobilnych, należąca do Unity Technologies. System ten pozwala twórcom gier i aplikacji na monetyzację swoich produktów poprzez wyświetlanie reklam. Dla reklamodawców natomiast to sposób na dotarcie do szerokiej grupy użytkowników urządzeń mobilnych.

Platforma oferuje różne formaty reklamowe, w tym:

  • wideo z nagrodami
  • banery
  • treści pełnoekranowe
  • reklamy typu playable

Okazuje się jednak, że popularność i zasięg mogą też działać przeciwko platformie. Dzięki swoim cechom stała się ona bowiem atrakcyjnym narzędziem również dla cyberprzestępców. Samo narzędzie nie ma z sieciowymi oszustami nic wspólnego – po prostu znaleźli sposób, by wykorzystać je do swoich celów.

Modus operandi – z reklamy do sklepu Google Play

Pierwszy etap to dystrybucja mobilnej aplikacji przy użyciu UnityAds. Przestępcy wyświetlają przy użyciu platformy reklamy, promujące aplikacje „inwestycyjne”. Treści przygotowane przez oszustów są zaprojektowane zgodnie z zasadami socjotechniki. W roli atrakcyjnej przynęty wykorzystują szeroko rozpoznawalną markę Orlen.

Reklamy fałszywych inwestycji oparte o UnityAds

Reklamy obiecują użytkownikom możliwość zarobienia dużych pieniędzy dzięki inwestycjom w węglowodory, wykorzystując przy tym zaufanie do marki polskiego giganta paliwowego. Dość często w niektórych z reklam oszuści wykorzystują wizerunki osób zaufania publicznego – polityków (np. prezydenta Karola Nawrockiego) bądź sportowców (głównie Roberta Lewandowskiego).

Kolejny krok to pozornie niewinne aplikacje. Użytkownicy są bowiem po kliknięciu w reklamę przekierowywani do oficjalnego sklepu Google Play! Na pierwszy rzut oka sytuacja nie wygląda więc groźnie. Oficjalny sklep marki i aplikacje wyglądające profesjonalnie i nie budzące podejrzeń. Choć to drugie to raczej na pozór – rzut okiem na niską liczbę pobrań i ocenę rzadko przekraczającą 2,0 dają wiele do myślenia.

Aplikacje reklamowane przy użyciu UnityAds można ściągnąć ze Sklepu Play.

Jak wyglądają fałszywe aplikacje, wykorzystywane w opisywanym scenariuszu? Co je łączy?

  • Podobny wygląd i funkcjonalność – wszystkie aplikacje są bardzo podobne do siebie
  • Minimalistyczny interfejs – oferują bardzo proste i ograniczone funkcje
  • Brak rejestracji – nie wymagają tworzenia konta użytkownika
  • Standardowe uprawnienia – nie żądają podejrzanych pozwoleń systemowych
  • Pozornie bezpieczne – na pierwszy rzut oka nie wykonują żadnych podejrzanych działań
  • Są dostępne w sklepie Google Play
Aplikacje do fałszywych inwestycji promowane przy użyciu UnityAds.

Klucz to powiadomienia push

Do tej pory wszystko wygląda bez zarzutów. Po samej instalacji aplikacji nie dzieje się nic, a taka sytuacja może dodatkowo uśpić czujność ofiary. A to dlatego, że prawdziwa natura opisywanych aplikacji ujawnia się dopiero po pewnym czasie od instalacji. Kluczowym elementem całego scenariusza są powiadomienia push.

Aplikacje de facto nie podejmują żadnych aktywności. Można za ich pośrednictwem zobaczyć kursy akcji, newsy finansowe, czy też panel użytkownika bez konieczności żadnych działań z naszej strony. Dlatego też mogły trafić do sklepu Google Play, bowiem nie są de facto złośliwe! Gdy nie otrzymujemy żadnych monitów związanych z finansami, łatwo stracić czujność. Dopiero po upływie sporego czasu (zazwyczaj następnego dnia) potencjalna ofiara otrzymuje powiadomienie push z aplikacji, podobne do pokazanych na poniższym zrzucie ekranu.

Aplikacje z Google Play generują pushe prowadzące do serwisów zewnętrznych.

Pierwszych 10 inwestorów otrzyma 1000 dolarów do depozytu; Zarejestruj się już dziś i odbierz darmowy pakiet inwestycyjny; Zarejestruj się już teraz i odbierz swoje 25 akcji w prezencie.

Takie komunikaty brzmią kusząco, no i przecież to nic niestandardowego, że aplikacje wysyłają powiadomienia push, prawda? Nawet jeśli niczego nie inwestowaliśmy, może nam się poszczęściło i faktycznie są dla nas pieniądze? Niestety, doświadczenie wskazuje, że wielu internautów wciąż wierzy w tego typu „okazje”. Wracając jednak do pusha. Od standardowych powiadomień różni go to, że klikając go nie trafiamy do aplikacji. Jesteśmy przekierowywani do zewnętrznej witryny internetowej pod adresem:

hxxps://mechovia[.]digital/[8-znakowy alfanumeryczny hash]

A tak pora na ostatni krok – wyłudzenie danych osobowych (i ew. w dalszym kroku próba namówienia na „zainwestowanie” prawdziwych pieniędzy). Wszystkie opisywane wcześniej aktywności to tak naprawdę przygotowanie do ostatecznego ataku. W jego trakcie użytkownik:

  • zostanie poproszony o wypełnienie krótkiej ankiety z nieistotnymi pytaniami (budowanie zaufania)
  • zobaczy „atrakcyjne” wyniki potencjalnych inwestycji (kolejny etap budowania zaufania + wizja dużych zarobków)
  • prawdopodobnie już na tym etapie poda swoje dane kontaktowe, tj.:
    • imię i nazwisko
    • numer telefonu
    • adres e-mail

Potem już oszustów czeka otwarta autostrada do naszego zaufania (i pieniędzy). Przestępcy wykorzystują przekazane dane kontaktowe do bezpośredniego kontaktu z ofiarami. Dalej wszystko dzieje się według schematu, który szczegółowo opisaliśmy w ubiegłorocznym materiale wideo. A jak konkretnie? To sprawdziliśmy osobiście.

Oszust do końca nie wyszedł z roli

Minęło zaledwie 10 minut od wypełnienia ankiety, gdy zadzwonił „menedżer konta” – nie trzeba więc czekać 48 godzin, jak oszuści zapowiadają na stronie. Rozmówca mimo wyraźnie wschodniego akcentu przedstawił się polskimi personaliami. Jakie były tematy rozmowy?

  • nasz wiek, plany inwestycyjne oraz wiedzę, dot. inwestowania (de facto ponawiając pytania z ankiety)
  • wyjaśnienie specyfiki działania „firmy inwestycyjnej” (do każdego klienta miał być przydzielony indywidualny doradca)
  • informacja o tym, że z każdej inwestycji „firma” bierze 5% prowizji
  • uszczegółowienie walorów w które mają być inwestowane nasze środki („nie tylko Orlen, ale też gaz ziemny i ropa naftowa”)
  • podanie numeru klienta i numeru telefonu „do firmy” (zabrakło jednak… adresu strony, na której można by użyć numeru klienta)
  • dyskusja nt. kwoty pierwszej wpłaty (w naszym przypadku stanęło na 1000 złotych)
  • ustalenie banku, w którym posiadamy konto

Gdy podaliśmy nazwę banku, rozmówca stwierdził, że „klienci korzystający z kont w tym banku wykonują do nas wpłaty za pośrednictwem BLIK-a” i usiłował przeprowadzić nas przez dokonanie płatności. Nadeszła więc pora na wyjaśnienie, co naprawdę jest celem naszej rozmowy i, że wcale nie chodzi nam o inwestycję.

Ale dlaczego sądzisz, że to oszustwo? Po prostu nigdy nie inwestowałeś, więc nie wiesz jak to wygląda! Pracowałeś kiedyś z indywidualnym doradcą? Na czym niby miałoby polegać to oszustwo? Przecież gdybym był oszustem to bym się rozłączył, a nie rozmawiał z Tobą dalej!

Faktycznie to, że próbował rozmawiać dalej, było sporym zaskoczeniem. Jednak do argumentów czemu mam pewność, że to oszustwo – nie odniósł się. Do pytania jak mają się polskie personalia do wschodniego akcentu – też nie. Do końca nie wyszedł z roli.

Jak poznać podejrzaną aplikację w Google Play?

Przede wszystkim pamiętaj, jeśli coś wydaje się zbyt piękne, aby było prawdziwe, prawdopodobnie tak właśnie jest. A szczegółowo?

  • weryfikuj źródło – oficjalne aplikacje Orlen są dostępne wyłącznie przez oficjalne kanały
  • sprawdzaj deweloperów – zwracaj uwagę na nazwę wydawcy aplikacji w Google Play; zazwyczaj wielkie firmy publikują aplikacje mobilne pod własną nazwą (np. Orange Polska)
  • do powiadomień z nowych/nieznanych aplikacji podchodź używając zasady ograniczonego zaufania
  • zastanów się dwa razy zanim gdziekolwiek podasz swoje dane osobowe
  • jeśli aplikacja wydaje Ci się podejrzana, zgłoś ją w Sklepie Play

Opisany scenariusz pokazuje, jak przestępcy wykorzystują zaufane platformy reklamowe (w tym przypadku UnityAds). Pamiętaj – jeśli ktoś oferuje Ci opcję dużego zarobku w krótkim czasie – poważnie się zastanów, czy to nie oszustwo. Jeśli masz wątpliwości – napisz do nas, pomożemy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

29 października 2025
AMA w Nasz Orange – zadaj nam (trudne) pytania 
Dowiedz się więcej
23 września 2025
Fałszywe bilety na koncerty – następny poziom
Dowiedz się więcej
22 sierpnia 2025
Płatności BLIK? Zapamiętaj na co warto uważać
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Strictly Necessary Cookies

Strictly Necessary Cookie should be enabled at all times so that we can save your preferences for cookie settings.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance