Uwaga na ataki na użytkowników polskich dostawców poczty: WP, Interia, Onet

dodał 23 kwietnia 2020 o 11:25 w kategorii Info, Mobilne, Złośniki  z tagami:
Uwaga na ataki na użytkowników polskich dostawców poczty: WP, Interia, Onet

Obserwujemy masowe ataki na klientów polskich serwisów dostarczających usługę poczty elektronicznej. Choć scenariusz nie jest wyrafinowany, to znamy już ofiary – a kradzież z konta boli dość mocno. Warto ostrzec znajomych.

Od kilku tygodni użytkownicy polskiego internetu otrzymują wiadomości podszywające się pod ich operatora poczty z informacją o konieczności akceptacji aktualizacji regulaminu. Link prowadzi do fałszywej witryny, gdzie na część użytkowników czeka bardzo niebezpieczna aplikacja. Atak i aplikację analizujemy poniżej.

Nowa wersja regulaminu

Zmiany regulaminów nie dziwią. W okresie pandemicznym wiele firm musi zmieniać model pracy na zdalny, co wiąże się ze zmianami organizacji pracy i co za tym idzie – również regulaminu dla klientów. Ale czy poczta elektroniczna musiała zmienić regulamin? Wątpliwe. Mimo tego użytkownicy klikają. Wiadomość wygląda na przykład tak:

Rzekomy e-mail od Interii

Droga Użytkowniczko / Drogi Użytkowniku,

21.04.2020 wchodzi nowa wersja regulaminu. Prosimy o zapoznanie się z nim oraz jego akcptacje. W przeciwnym razie będziemy zmuszeni zablokować Państwa konto.
Jesteśmy z Tobą nie od dziś! Nie pozw’ol aby wszystkie Twoje ważne bądź mniej ważne dane zostały usunięte. Zaakceptuj nowy regulamin i ciesz się poczta najlepszej jakości!

Zaakceptuj regulamin i zachowaj konto!

Masz więcej pytan? Odwiedź naszą pomoc.

Grupa Interia.pl

Choć obecnie widzimy ataki na użytkowników Interii, to nie jest pierwsza tego typu kampania. Identyczne maile, wysyłane w imieniu Administratorów Wirtualnej Polski, otrzymywali użytkownicy tej poczty w dn. 29-30 marca.

Ostrzeżenie CERT Polska

Spostrzegawczy czytelnicy od razu zauważą rażące błędy w ortografii lub brak polskich znaków. Wyraźnie widać, że autor komunikatu bardzo słabo zna tajniki języka polskiego, jak również nie używa Google Translatora. Niemniej próbuje pisać i wysyłać komunikaty do użytkowników Interii. Mniej uważni użytkownicy klikną i wejdą na stronę – wodopój, skąd automatycznie będą mogli pobrać aplikację pocztową:

https://poczta-interia.com/NowaPocztaInterii.apk 

Nie każdy jednak otrzyma aplikację. Przestępcy, podobnie jak we wcześniejszych scenariuszach z Wirtualną Polską, sprawdzają, czy urządzenie użytkownika to telefon z Androidem.

Fragment kodu weryfikujący, czy klient używa Androida

W przypadku WP złośliwe oprogramowanie dostarczane na telefony było zamaskowane jako Flash Player.

Komunikat złośliwej witryny

Na liście celów oprócz Interii i WP był także Onet. Domeny i / lub adresy używane przez przestępców to:

akceptacja-regulaminu.com
aktualizacja-regulamin.com
nowy-regulamin.com/wirtualna-polska/
regulamin-onet.com
regulamin-poczty.com
regulamin-wirtualnapolska.com
regulamin-wirtualnapolska.icu
regulamin-wp.com
wirtualna-polska.privacy-email.eu
wp-regulamin.com
wppoczta-regulamin.pl

Wszystkie trafiły już na „czarną listę” domen prowadzoną przez CERT.pl.

W przypadku ataku na użytkowników Interii rzekoma aplikacja pocztowa z samą pocztą miała znacznie mniej wspólnego – udając klienta pocztowego instalowała się na telefonie i działała w tle. W trakcie instalacji prosiła o uprawnienia, które w istocie przekazywały kontrolę nad telefonem przestępcy. Jest to popularny, jednocześnie bardzo niebezpieczny trojan bankowy Cerberus. Przestępcy liczą tu na nieuwagę czytelnika, który czytając wiadomość na swoim telefonie, szybko kliknie w link i zobaczy aplikację do uruchomienia. Cerberus to wielomodułowe złośliwe oprogramowanie na telefony komórkowe, udostępniane przez przestępców w modelu Crime-as-a-Service (można wykupić dostęp do panelu i zainfekowanych telefonów). O samym Cerberusie można poczytać w wielu publikacjach. Warta polecenia jest analiza zespołu CERT.pl.  W skrócie – umożliwia on złodziejowi kradzież loginu i hasła użytkownika oraz przejmowanie na żywo kodów SMS, co pozwala na wyczyszczenie rachunku ofiary.

Pod artykułem znajdziecie małą analizę aplikacji oraz dokument z pełniejszą analizą techniczną.

Jak nie dać się łatwo oszukać?

  1. Nie instalować aplikacji spoza sklepu Google Play (z niezaufanych źródeł). Nie uchroni to przed wszystkimi złośliwymi aplikacjami, bo przestępcy znajdują sposoby na publikowanie fałszywych lub złośliwych aplikacji w oficjalnych kanałach dystrybucji, jednak znacząco ogranicza ryzyko.
  2. Nie wyłączać funkcji Google Protect – to wbudowany „antywirus” działający całkiem nieźle w nowych Androidach.
  3. Zawsze weryfikować uprawnienia, o jakie prosi aplikacja w trakcie instalacji. Kalkulator nie powinien móc dzwonić ani odbierać SMS-ów.
  4. Z dużą rozwagą dodawać aplikacje do ułatwień dostępu czy też ustawiać je jako administratora urządzenia. W tych sytuacjach aplikacje mogą same nadawać dalsze uprawnienia (bez kontroli użytkownika).
  5. Włączyć autoryzację mobilną w aplikacji banku. Umożliwia to rezygnację z kodów SMS, tym samym przerywając proces tego ataku.

O bezpieczeństwie aplikacji mobilnych i bankowości mobilnej

Te tematy bardzo dokładnie i z wieloma barwnymi przykładami (wiecie, że możecie na telefonie zainstalować młotek?) omawiamy podczas kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak dbać o swojego smartfona i unikać problemów opisanych w artykule powyżej.

A jeśli sądzicie, że wiecie już o bezpieczeństwie wszystko, to użytkownicy, którzy już kurs kupili, przekonują się, że jeszcze czegoś mogli się nauczyć :)

Analiza techniczna

Aplikacja:

Name: NowaPocztaInterii.apk
MD5 1b75faf2adfc63ee8448b57bdf23d48e
SHA1 3f72a4dd42cdf126e27dbd843847f0f3af39bf29
SHA256 fefd353bac6e06b45a4593b22a03b57b3b1d28c25edde151ace8dee06fadd9ac
Size 1610406 bytes

Podpis

Subject: C=US, ST=California, L=Mountain View, O=Android, OU=Android, CN=Android, E=android@android.com
Valid From: 2008-02-29 01:33:46+00:00
Valid To: 2035-07-17 01:33:46+00:00
Issuer: C=US, ST=California, L=Mountain View, O=Android, OU=Android, CN=Android, E=android@android.com
Serial Number: 0x936eacbe07f201df

Uprawnienia:

 android.permission.CALL_PHONE
android.permission.CHANGE_WIFI_MULTICAST_STATE
android.permission.DISABLE_KEYGUARD
android.permission.INTERNET
android.permission.NFC
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_BOOT_COMPLETED CHECKOUT
android.permission.RECEIVE_SMS
android.permission.REORDER_TASKS
android.permission.REQUEST_DELETE_PACKAGES
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.SEND_SMS
android.permission.WAKE_LOCK

CONFIG

<string name="key">YNNXZ23yph6Dt</string>
<string name="urlAdminPanel">hxxp://cerbb[.]xyz</string>

IOC

Package Name tgffsznnfaqz.uigqoxhqdhzw.stijcdihrnxemufcckfnwskrgta
MD5 1b75faf2adfc63ee8448b57bdf23d48e
SHA1 3f72a4dd42cdf126e27dbd843847f0f3af39bf29
SHA256 fefd353bac6e06b45a4593b22a03b57b3b1d28c25edde151ace8dee06fadd9ac
C2: cerbb[.]xyz
C2: cerb[.]xyz/gate.php