Uwaga na pojawiającą się nową kampanię malware Hydra. Tradycyjnie zaczyna się od maila, podszywającego się pod bank (tym razem znów Santander) o rzekomej konieczności instalacji "aplikacji zabezpieczającej":
Z linkiem jest... różnie. W przypadku wejścia z komputera stacjonarnego, bądź z części sandboxów, trafimy po serii przekierowań na stronę... Shell.com. Jeśli jednak uruchomimy link w telefonie lub na odpowiednio skonfigurowanej maszynie wirtualnej, trafiamy na hxxp://centrum24.pl-centrum24[.]com/a1b2c3/39d4479f7805d19aea7a3e11d0c753f7/login/?. Centrum24.pl to - jak można się domyślić - witryna Santander Bank Polska. Tam mamy skopiowaną 1:1 stronę logowania banku, gdzie - po wpisaniu loginu i hasła - trafiają one do przestępcy. Co więcej, w kolejnym kroku trafiamy na propozycję - jak zapowiadane w mailu - instalacji "aplikacji bezpieczeństwa".
I próbę instalacji aplikacji:
Docelowe witryny oczywiście blokuje CyberTarcza, a jeśli chcecie zobaczyć bardziej szczegółową analizę santanderpl.apk - mamy ją na naszym sandboksie. A czym w skrócie jest Hydra - wielozadaniowym malware mobilnym o wielu możliwościach, który opisywaliśmy już jakiś czas temu.
7 lutego 2023
Uważajcie, korzystając z maila przez WWW!31 stycznia 2023
Kolejna kampania Tesli25 stycznia 2023
Uważaj na reklamy w przeglądarkach!Zgłoś incydent