Hydra pod szyldem Santander

Uwaga na pojawiającą się nową kampanię malware Hydra. Tradycyjnie zaczyna się od maila, podszywającego się pod bank (tym razem znów Santander) o rzekomej konieczności instalacji „aplikacji zabezpieczającej”:

Z linkiem jest… różnie. W przypadku wejścia z komputera stacjonarnego, bądź z części sandboxów, trafimy po serii przekierowań na stronę… Shell.com. Jeśli jednak uruchomimy link w telefonie lub na odpowiednio skonfigurowanej maszynie wirtualnej, trafiamy na hxxp://centrum24.pl-centrum24[.]com/a1b2c3/39d4479f7805d19aea7a3e11d0c753f7/login/?. Centrum24.pl to – jak można się domyślić – witryna Santander Bank Polska. Tam mamy skopiowaną 1:1 stronę logowania banku, gdzie – po wpisaniu loginu i hasła – trafiają one do przestępcy. Co więcej, w kolejnym kroku trafiamy na propozycję – jak zapowiadane w mailu – instalacji „aplikacji bezpieczeństwa”.

I próbę instalacji aplikacji:

Docelowe witryny oczywiście blokuje CyberTarcza, a jeśli chcecie zobaczyć bardziej szczegółową analizę santanderpl.apk – mamy ją na naszym sandboksie. A czym w skrócie jest Hydra – wielozadaniowym malware mobilnym o wielu możliwościach, który opisywaliśmy już jakiś czas temu.