Uwaga na nowy atak na konta bankowe polskich internautów „na copywritera”

dodał 3 lipca 2018 o 11:29 w kategorii Mobilne, Socjo  z tagami:
Uwaga na nowy atak na konta bankowe polskich internautów „na copywritera”

Przestępcy atakujący Wasze konta bankowe nie ustają w wysiłkach. Tym razem wzięli na celownik osoby szukające pracy w serwisie OLX i wymyślili, w jaki sposób zainfekować ich telefony złośliwym oprogramowaniem.

Choć cel przestępców pozostaje bez zmian, to często zmieniają metody ataków. My je identyfikujemy, opisujemy i Was ostrzegamy, a przestępcy, gdy widzą, że dana metoda traci na skuteczności, wdrażają nowe pomysły. Oto kolejny z nich – „na copywritera”.

Atrakcyjna praca

Zaczyna się od ogłoszenia w serwisie OLX, w którym poszukiwany jest copywriter. Tytuł ogłoszenia to „Praca Copywriter – opisz produkt!„. Wygląda tak:

Szukamy osób kreatywnych potrafiących opisać produkt.
Nie wymagamy doświadczenia. Praca zdalna.
Gwarantujemy dobre wynagrodzenie z możliwością rozwoju.

Prosimy aplikować przesyłając adres email oraz CV

Jak widzicie, oferta jest dość atrakcyjna. Jeśli wyślecie swoje CV, w odpowiedzi otrzymacie następującą wiadomość z adresu [email protected]:

Dziękujemy za aplikacje na stanowisko Copywriter. Obecnie system pracy wyglada następująco. Wysyłamy aplikacje lub link do aplikacji w sklepie google play.  Aplikacje trzeba uruchomic oraz opisać z następującym schemacie:

Aplikacja uruchamia sie (powoli/normalnie/szybko/nie uruchamia się).
Opisać wygląd pierwszego ekranu aplikacji.
Sprawdzić czy są błędy językowe.

Obecnie potrzebujemy 4 osób. Opis pierwszych dwóch aplikacji bedzie decydował o zatrudnieniu
Sprawdzamy umiejętność obsługi systemu android oraz instalowania aplikacji. Sprawdzenie wybranych przez nas aplikacji nie powinno trwać dłuzej niz 15minut.

Wynagrodzenie przez pierwsze 3 miesiące to 2800 zł netto. Docelowe wynagrodzenie to 6500 zł netto. Praca zdalna lub w naszej siedzibie w Warszawie. Aby przejść do kolejnego etapu rekrutacji ,prosimy wykonać zadanie testowe. Poniżej jest jedna z aplikacji do przetestowania. System android.

http://testeraplikacji.com/tester2/

Zadania: Znaleźć błędy, literówki.
Zdać raport jak aplikacja zachowuje się na urządzeniu (proszę podać numer wersji androida).
Aplikacja musi być zainstalowana minimum 4 dni. Codziennie minimum raz włączona i sprawdzona.
W przypadku braku zatrudnienia wypłacamy 50zł w postaci przelewu. Prosimy o podanie numeru konta do wypłat.
Pozdrawiamy.
Dział HR

Okazuje się zatem, że za lekką i prostą zdalną pracę możemy otrzymać całkiem spore wynagrodzenie. Idziemy zatem dalej i patrzymy na firmową stronę WWW:

Testuj, raporotuj, żyj. Najwyraźniej autorowi zabrakło trochę weny. Warto zauważyć, że domena i wpis powstały w pierwszej połowie maja. Gdy klikamy na otrzymany w e-mailu link do pobrania aplikacji, otrzymujemy dokładną instrukcję, jak zainstalować aplikację spoza sklepu Google.

Jeśli pobierzemy plik dhlapp.apk, warto wrzucić go do serwisu VirusTotal. Wynik nie pozostawia wątpliwości – to bankowy koń trojański, który spróbuje wykraść nasze dane logowania do konta, a następnie ukradnie SMS-y z kodami autoryzacyjnymi.

Jak wygląda próba instalacji na Androidzie? To zależy od wersji. Nowsze (na pewno 8+) potrafią rozpoznać aplikację jako złośliwą, a 6 i starsze niekoniecznie sobie z tym radzą. Najpierw trzeba włączyć instalację oprogramowania z zewnętrznych źródeł (nigdy tego nie róbcie!).

Następnie Play Protect obroni skutecznie nasz telefon i uniemożliwi instalację złośliwego oprogramowania.

Jeśli jednak mamy starszego Androida (lub wyłączoną usługę Play Protect), instalacja się uda, a aplikacja poprosi o uprawnienia administratora urządzenia.

Po dodaniu wszystkich uprawnień jedynym objawem działania aplikacji są dziwne, nieklikalne komunikaty w menu powiadomień. Złośliwa aplikacja odezwie się dopiero, gdy wykryje na telefonie aplikację bankowości internetowej, wyłudzi dane do logowania do banku i okradnie konto ofiary.

Relacja ofiary

Jak wygląda taki atak oczami ofiary? Przeczytajcie relację naszego Czytelnika.

Ostatnio szukałem pracy dodatkowej – zdalnej na OLX.pl jako Copywriter. No i powiedzmy, że znalazłem. Niestety okazało się, że aplikacja, która jest do testowania „DHL Kurier” to typowy malware. Kliknąłem w link i zainstalowała się aplikacja ze złośliwym oprogramowaniem (kodem) działającym w tle. Aplikacja od razu aktywowane miała prawa administratora z dostępem do haseł, maili, wiadomości i kontaktów. Mój Hi Security Antyvirus dopiero wysłał mi alert, że to malware po zainstalowaniu aplikacji i polecił dezaktywowanie jej jako „administratora”. Niestety to nie działało. Nie mogłem jak dezaktywować ani usunąć. Aplikacja ciągle się aktywowała jak „Administrator” jak pętla była oprogramowana. Dopiero przywrócenie „Ustawień fabrycznych pomogło”.

Podsumowanie

Oferty zbyt dobre, by były prawdziwe, nie są prawdziwe. Nie instalujcie aplikacji spoza sklepu producenta. Wymieńcie telefon na taki, który ma Androida 8 lub nowszego. Albo kupcie iPhone’a i zapomnijcie o problemach ze złośliwymi aplikacjami.

Co możecie z tym materiałem zrobić?

  1. Pokażcie to znajomym, którzy potrzebują trochę pomocy w rozpoznawaniu takich ataków.
  2. Użyjcie w swojej firmie – wszystkie zrzuty ekranu są do Waszej dyspozycji, bez znaków wodnych. Edukujcie!
  3. Jeśli potrzebujecie pomocy w edukacji pracowników – przyjedziemy, pokażemy kilkadziesiąt podobnych ataków i nauczymy, jak na nie reagować.