Uwaga na pojawiającą się nową kampanię malware Hydra. Tradycyjnie zaczyna się od maila, podszywającego się pod bank (tym razem znów Santander) o rzekomej konieczności instalacji "aplikacji zabezpieczającej":

Z linkiem jest... różnie. W przypadku wejścia z komputera stacjonarnego, bądź z części sandboxów, trafimy po serii przekierowań na stronę... Shell.com. Jeśli jednak uruchomimy link w telefonie lub na odpowiednio skonfigurowanej maszynie wirtualnej, trafiamy na hxxp://centrum24.pl-centrum24[.]com/a1b2c3/39d4479f7805d19aea7a3e11d0c753f7/login/?. Centrum24.pl to - jak można się domyślić - witryna Santander Bank Polska. Tam mamy skopiowaną 1:1 stronę logowania banku, gdzie - po wpisaniu loginu i hasła - trafiają one do przestępcy. Co więcej, w kolejnym kroku trafiamy na propozycję - jak zapowiadane w mailu - instalacji "aplikacji bezpieczeństwa".

I próbę instalacji aplikacji:

Docelowe witryny oczywiście blokuje CyberTarcza, a jeśli chcecie zobaczyć bardziej szczegółową analizę santanderpl.apk - mamy ją na naszym sandboksie. A czym w skrócie jest Hydra - wielozadaniowym malware mobilnym o wielu możliwościach, który opisywaliśmy już jakiś czas temu.

Podziel się: