To nie O2 – to ransomware Hydra
(artykuł edytowany – szczegóły na końcu)
Przestępcy znów wracają do pomysłu z „aktualizacjami-czegokolwiek” w formie aplikacji mobilnych. Tym razem pod szyldem rzekomej polityki prywatności fundują nam mobilny ransomware Hydra. Próbka, która trafiła do nas, podszywa się akurat po portal o2.pl.

Konstrukcja adresu wskazuje jednak na możliwość podszywania się pod inne serwisy. Przestępcy mogą przygotować dedykowane landing pages i odpowiednio nazwać aplikacje mobilne. To one są bowiem kluczem w ostatnich atakach. Oszuści starają się sztuczkami socjotechnicznymi przekonać ofiary do instalacji aplikacji spoza oficjalnego sklepu, by potem przejąć kontrolę nad ich telefonami/tabletami.
IoC
Domeny, powiązane z opisywaną kampanią, znajdują się pod adresem 194.59.141.215. Wśród nich znajdziemy m.in.:
- akceptuj-regulamin[.]site
- e-mail-regulamin[.]online
- e-mail-regulamin[.]site
- e-mailprywatnosc[.]online
- e-mailprywatnosc[.]site
- poczta-email[.]online
- poczta-email[.]site
- pomoc-poczta[.]online
- pomoc24[.]site
- regulamin-24[.]pl
- regulamin-email[.]online
- regulamin-email[.]site
- regulamin-mail[.]online
- regulamin-mail[.]site
- regulamin24[.]online
Część domen zarejestrowano 2.12, pozostałe wczoraj, 15.12.
Edycja: W początkowej wersji artykułu informowaliśmy o tym, jakoby był to kolejny przypadek trojana Cerberus. Cóż – błądzić jest rzeczą ludzką, a nam przy jednoczesnej analizie dwóch próbek zdarzyło się przyporządkowanie opisu jednej do drugiej. Najważniejsze jednak, by wszystko było blokowane dla naszych Klientów i z tym żadnych problemów nie było. Dziękujemy Łukaszowi Cepokowi za zwrócenie na Twitterze uwagi na pomyłkę.