To nie O2 – to ransomware Hydra
(artykuł edytowany – szczegóły na końcu)
Przestępcy znów wracają do pomysłu z „aktualizacjami-czegokolwiek” w formie aplikacji mobilnych. Tym razem pod szyldem rzekomej polityki prywatności fundują nam mobilny ransomware Hydra. Próbka, która trafiła do nas, podszywa się akurat po portal o2.pl.
![](https://cert.orange.pl/wp-content/uploads/2023/10/image-41.png)
Konstrukcja adresu wskazuje jednak na możliwość podszywania się pod inne serwisy. Przestępcy mogą przygotować dedykowane landing pages i odpowiednio nazwać aplikacje mobilne. To one są bowiem kluczem w ostatnich atakach. Oszuści starają się sztuczkami socjotechnicznymi przekonać ofiary do instalacji aplikacji spoza oficjalnego sklepu, by potem przejąć kontrolę nad ich telefonami/tabletami.
IoC
Domeny, powiązane z opisywaną kampanią, znajdują się pod adresem 194.59.141.215. Wśród nich znajdziemy m.in.:
- akceptuj-regulamin[.]site
- e-mail-regulamin[.]online
- e-mail-regulamin[.]site
- e-mailprywatnosc[.]online
- e-mailprywatnosc[.]site
- poczta-email[.]online
- poczta-email[.]site
- pomoc-poczta[.]online
- pomoc24[.]site
- regulamin-24[.]pl
- regulamin-email[.]online
- regulamin-email[.]site
- regulamin-mail[.]online
- regulamin-mail[.]site
- regulamin24[.]online
Część domen zarejestrowano 2.12, pozostałe wczoraj, 15.12.
Edycja: W początkowej wersji artykułu informowaliśmy o tym, jakoby był to kolejny przypadek trojana Cerberus. Cóż – błądzić jest rzeczą ludzką, a nam przy jednoczesnej analizie dwóch próbek zdarzyło się przyporządkowanie opisu jednej do drugiej. Najważniejsze jednak, by wszystko było blokowane dla naszych Klientów i z tym żadnych problemów nie było. Dziękujemy Łukaszowi Cepokowi za zwrócenie na Twitterze uwagi na pomyłkę.