W ostatnim czasie cyberprzestępcy wznowili kampanię, w której dystrybuowane są złośliwe aplikacje na system Android. Po raz kolejny wykorzystywany jest wizerunek firmy InPost, a złośliwa aplikacja rzekomo pobierana jest ze sklepu Google Play.

To nie pierwszy raz, kiedy przestępcy wykorzystują wizerunek firmy kurierskiej InPost. Podobny schemat ataku, gdzie do pobrania była złośliwa aplikacja był już przez nas opisywany. Artykuł możecie przeczytaj TUTAJ. Jak widzicie, schematy ataków się powtarzają, dlatego warto być na bieżąco z aktualnymi zagrożeniami.

W trwającym obecnie ataku cyberprzestępcy rozsyłają wiadomości SMS z informacją o konieczności pobrania nowej wersji aplikacji InPost, aby otrzymać dane do odbioru przesyłki. W wiadomości zawarty jest link do strony appstorepost.com, która podszywa się pod oryginalną stronę InPost.

SMS-1

Pamiętajcie, że o wszystkich podejrzanych stronach internetowych możecie informować nas za pośrednictwem strony ZGŁOŚINCYDENT. Każda złośliwa strona będzie przez nas blokowana.

Po przejściu pod wskazany w wiadomości link, zostajemy przekierowani do fałszywej strony InPost. Aby móc śledzić swoją paczkę, należy pobrać i zainstalować aplikację.

1

Po kliknięciu Pobierz, zostajemy przekierowani do strony, która ma sugerować, że pobieramy aplikację ze sklepu Play. Jest to celowy zabieg zastosowany przez przestępców, którzy zapewne chcą jeszcze bardziej uwiarygodnić cały atak. Jeśli ktoś nie sprawdzi dokładnie adresu strony (wciąż jesteśmy na stronie wykorzystującej domenę appstorepost.com), będzie mógł myśleć, że pobiera aplikację ze sklepu Play, czyli zaufanego źródła.

2

Na stronie możemy przeczytać również same pozytywne opinie na temat tej aplikacji. Oczywiście są one fałszywe, podobnie jak cała strona.

3

Po kliknięciu Zainstaluj, na telefon pobierany jest plik o nazwie InPost Mobile.apk. Ponieważ w rzeczywistości aplikacja nie jest pobierana ze Sklepu Play, ale z przeglądarki, to wyświetlone zostaje stosowne ostrzeżenie. W domyślnych ustawieniach systemu Android, uruchomienie instalacji aplikacji spoza sklepu Play jest niemożliwe. Aby zainstalować pobrany plik należy w ustawieniach zezwolić na instalację z nieznanych źródeł. Warto nadmienić, że nie należy tego robić.

Komunikat ostrzegawczy oraz instalacja złośliwej aplikacji
4

Po zainstalowaniu i uruchomieniu aplikacji InPost Mobile żąda włączenia dostępu do 'InPost Mobile'. Pozwoli to aplikacji na:
- Obserwowanie Twoich działań
Otrzymywanie powiadomień podczas Twojej pracy z aplikacją.
- Pobieranie zawartości okna
Sprawdzanie zawartości okna, z którego korzystasz.

Uprawnienia jakich żąda złośliwa aplikacja
5

Po wykonanych czynnościach aplikacja znika z listy aplikacji w menu, ale cały czas działa w tle i monitoruje to, co aktualnie wykonujemy na telefonie. Po uruchomieniu aplikacji bankowej, która jest celem ataku, zostanie wyświetlona nakładka, która imituje panel logowania. Wprowadzone tam dane są natychmiastowo przechwytywane przez przestępców. Złośliwa aplikacja dodatkowo posiada możliwość odczytywania wiadomości SMS, więc także kodów SMS z banku, które są potrzebne do logowania, bądź wykonania transakcji.

Przykładowe nakładki wyświetlane na oryginalnych aplikacjach bankowych
nakladki-1

Podsumowanie

Pobierając aplikacje na swój telefon korzystaj jedynie z zaufanych źródeł, jak sklep Google Play. Zawsze jednak sprawdzaj, czy rzeczywiście znajdujesz się w sklepie Play, czy jedynie na stronie, która łudząco go przypomina. Pamiętaj, że aplikacje pochodzące z nieznanych źródeł mogą być niebezpieczne i zawierać złośliwe oprogramowanie, za pomocą którego przestępcy wykradną Twoje poufne dane i przejmą kontrolę nad Twoim telefonem.