Kolejna fałszywa aplikacja InPost

Jeśli myśleliście, że po świętach przestępcy odczepią się od InPostu, to – cóż – źle myśleliście. Faktycznie było kilka dni spokoju, ale już dziś, w poniedziałek, do potencjalnych ofiar trafiały takie SMSy:

Od: INP24
Treść: To ja, Twoja paczka. Czekam na odbior. Sciagnij apke i odbierz mnie. hxxps://bit.ly/38WXFiN

Co zobaczymy po kliknięciu linka? Takie coś:

Co więcej, aplikacja znajduje się w podkatalogu /play.google/ co zapewne z założenia ma udawać przed mniej świadomymi użytkownikami, że mają do czynienia z oficjalnym Sklepem Play. W tej aplikacji znajdziecie jednak trojana/bankera Cerberus.

Update: chwilę po publikacji artykułu pojawiła się nowa domena, lnpostpaczka24[.]com.

Co robić?/IoC

Aplikacje mobilne ściągać wyłącznie z oficjalnych sklepów. Możliwość odznaczenia opcji „instalacja spoza sklepu” zostawcie sobie tylko wtedy, gdy na pewno wiecie, co robicie.

A jeśli jesteście adminami sieci, zablokujcie C2 pod adresami:

hxxps://holidaycheckin.xyz
hxxp://amazingfreetoo.rest

CyberTarcza już to zrobiła.

Bezpiecznego Nowego Roku