hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
21 października 2020

Groźni oszuści udają CyberTarczę

To w zasadzie była kwestia czasu. Przestępcy podszywają się pod ekran informacyjny naszej CyberTarczy, chcąc przekonać Was do instalacji złośliwej aplikacji na Androida.

Na początku zastanawialiśmy się, czy nas to denerwuje, ale chyba jednak bardziej pochlebia. Źli ludzie uznali, że CyberTarcza jest na tyle popularna i znana, ze podszycie się pod nią może przynieść wymierne efekty. Zaczyna się od SMSa (w naszej sieci do momentu podjęcia przeciwdziałań, zanotowaliśmy ich kilkaset), sugerującego, że lada moment utracimy możliwość połączenia z internetem (rzecz w dzisiejszych czasach mocno kluczowa).

Wiadomości przychodziły z nadpisu „Orange”, co oznacza, że u części naszych klientów pojawiają się pod prawdziwymi wiadomościami od nas. Warto zwrócić uwagę, że w sytuacji, gdy mamy podstronę /Orange, tego typu treści mogą zacząć niebawem pojawiać się w innych sieciach – ostrzeżcie więc znajomych. Jeśli klikniemy w link (spoza sieci Orange Polska, bo u nas oczywiście od początku kampanii jest blokowany), zobaczymy taki oto ekran:

Wygląda jak CyberTarcza, ale ci z Was, którzy znają sprawę, wiedzą, że choćby ze względu na czcionkę nie ma to nic wspólnego z naszą usługą. Dodatkowo oczywiście merytorycznie treść jest niezgodna z tym, co przekazujemy CyberTarczą. No ale ładnie brzmi: „bezpieczniej”, „256-bitowy klucz szyfrujący”, itd. No i abonamenci, zamiast abonentów.

Jeśli jednak któryś z „abonamentów” zdecyduje się na kliknięcie, pojawi się okno ściągania aplikacji mobilnej.

A po jej zainstalowaniu okaże się, że mamy do czynienia z bankerem Hydra (oprogramowanie o tej samej nazwie w wersji na komputery funkcjonuje jako ransomware). Co potrafi w wersji na komórki?

Wśród komponentów Hydry znajdziemy m.in.

Text: dostęp do sms

USSD: wykonywanie połączeń wysyłanie kodów USSD

Injects: Nakładka przesłaniający aplikacje (np. bankowe), by użytkownik wprowadził swoje dane

Locker: blokowanie ekranu

Screencast: nagrywanie ekranu

Testowana przez nas próbka ściąga na zainfekowane urządzenie plik dex, nadaje mu nazwę xDeLl.json i go uruchamia. W kolejnym kroku umieszcza na urządzeniu plik konfiguracyjny:

który po deszyfrowaniu za pomocą poniższej metody

ukazuje nam ostatecznie serwer Command&Control pod adresem hxxps://bestmomsonline.xyz

Bądźcie ostrożni.

1 kwietnia 2025
Czas na eSprawozdania? Uważaj na phishing!
Dowiedz się więcej
26 marca 2025
Fałszywe SMS-y od komornika
Dowiedz się więcej
19 marca 2025
Nowa kampania XLoader
Dowiedz się więcej
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance