Mamy kolejną wersję Cerberusa. Tym razem przestępcy za cel wzięli sobie mobilną aplikację sieci sklepów Lidl Plus. W zasadzie nie aplikację, zagrywając nieco sprytniej:
Zakładamy, że to dlatego, by potencjalna ofiara nie myślała: "Ale przecież aplikacja Lidla jest w Sklepie Play!". Tutaj więc mamy aktywację "bonu", informację o którym - jak można się spodziewać - znajdziemy w mailu bądź SMSie, niejako wprowadzającym do phishingowej kampanii.
Pod linkiem na stronie udającej Sklep Play znajdziemy aplikację mobilną o nazwie "LIDL". Dopiero, kiedy z poziomu urządzenia mobilnego zaakceptujemy uruchomienie pakietu spoza sklepu, będziemy mogli zainstalować na nim... Trojana Cerberus, którego nowa wersja potrafi nawet wykradać kody z aplikacji Google Authenticator.
Złośliwa aplikacja po zainstalowaniu łączy się z serwerem Command&Control pod adresem http://marioluidgi.top.
Oczywiście witryna udająca Sklep Play jest już zablokowana na CyberTarczy, zaś serwer C&C umościł się wygodnie w sinkhole'u.
19 stycznia 2021
Powrót Emoteta4 stycznia 2021
Kolejna fałszywa aplikacja InPost22 grudnia 2020
Pomyśl zanim oddzwonisz!Zgłoś incydent