Uwaga na dużą kampanię malware pod hasłem Allegro Kredyty

dodał 30 września 2020 o 11:27 w kategorii Złośniki  z tagami:
Uwaga na dużą kampanię malware pod hasłem Allegro Kredyty

Czasem po stanie naszej skrzynki możemy szybko ocenić skalę kampanii przestępców – jeśli w ciągu kwadransa dociera do nas kilkanaście raportów o złośliwych wiadomościach, to wiemy, że warto o tym napisać, by uratować kilka potencjalnych ofiar.

Do polskich skrzynek pocztowych napłynęła dzisiaj rano spora fala złośliwych wiadomości podszywających się pod serwis Allegro i informujących o rzekomym wniosku kredytowym. Ich celem jest zainfekowanie telefonów z Androidem, co prowadzi do kradzieży pieniędzy z kont ofiar. Ostrzeżcie znajomych, a my pokażemy proces krok po kroku.

Potwierdzenie wniosku o limit kredytowy Raty Od.nowa

Dzisiaj ok. 2 – 3 w nocy przestępcy rozesłali wiadomość o temacie „Potwierdzenie wniosku o limit kredytowy Raty Od.nowa”. Wiadomość wyglądała tak:

Wygląd wiadomości

Treść wiadomości to:

Witaj [email protected].

Potwierdź swoją prośbę o przyznanie kredytu Raty Od.nowa.

Informujemy, że Twój formularz o przyznanie limitu Raty Od.nowa został złożony prawidłowo. Zanim złożony wniosek zostanie wysłany do banku udzielającego pożyczki wymagamy weryfikacji email.
Przejdź do wniosku

Wiadomości wysyłane są ze zróżnicowanych adresów nadawców. Link „Przejdź do wniosku” prowadzi w każdej badanej przez nas próbce do adresu

http://102.130.124.5/redirect.html

który w momencie analizy przekierowuje do strony

https://allegro-credit.info/

Tam z kolei ofiara widzi taką stronę:

Fałszywa witryna przypomina wniosek kredytowy Allegro. Kolejne jej fragmenty mają za zadanie przekonać ofiarę, że faktycznie ktoś złożył w jej imieniu wniosek kredytowy.

Pod koniec strony znajdziemy za to guziki umożliwiające złożenie lub anulowanie wniosku.

Wybranie którejkolwiek opcji na komputerze spowoduje wyświetlenie takiego oto okienka:

Jeśli z kolei zajrzymy tam z telefonu z Androidem, otrzymamy prośbę o instalację aplikacji. Fragment kodu za to odpowiedzialny jest dość prosty:

Link do pobrania pliku ze złośliwą aplikacją to

https://allegro-credit.info/app/AllegroKredyty.apk

Aplikacja, którą przestępcy chcą infekować telefony, to najprawdopodobniej narzędzie Hydra, służące do instalacji kolejnego złośliwego oprogramowania, tym razem zapewne bankowego konia trojańskiego. Ten może wyłudzać login i hasło do banku oraz kraść kody SMS.

Warto zauważyć, że osoby posiadające aplikację mobilną banku z włączoną autoryzacją transakcji w aplikacji nie będą na ten atak podatne – złośliwa aplikacja na ich telefonie nie będzie mogła przeprowadzić autoryzacji przelewu bez ich wiedzy. Rezygnujcie z autoryzacji SMS, dopóki nie jest za późno.

Podsumowanie

Choć nasi regularni czytelnicy z łatwością rozpoznają takie ataki, to niestety większość internautów ma z tym duży problem. Można to powoli zmieniać – spróbujcie dzisiaj wytłumaczyć ten atak jednej osobie, o której sądzicie, że go może nie rozpoznać. Niech to będzie wasz środowy dobry uczynek :)