Według Urzędu Komunikacji Elektronicznej 80,4 proc. ankietowanych Polaków używa smartfonów. Jednocześnie 74 proc. użytkowników spotkało się z usługą automatycznych sms-ów.
„Popularność smartfonów i automatycznych sms-ów dostrzegli również przestępcy. Coraz częściej przygotowują kampanie phishingowe nakierowane na ich użytkowników oraz złośliwe oprogramowanie na platformy mobilne” – alarmuje CERT Polska, czyli część NASK – Państwowego Instytutu Badawczego. Pracujący w nim eksperci stoją na straży polskiego internetu.
Okazuje się, że mają czego pilnować, bo tylko w 2021 r. do CERT trafiło ponad 17,5 tys. zgłoszeń dotyczących szkodliwych aplikacji na systemy operacyjne Android.
Trojany atakują
Jakie najczęściej trojany atakują urządzenia polskich użytkowników? Pierwszy na liście jest Flubot (nazwyany także Cabassous). Zauważono go już pod koniec 2020 roku w Finlandii i Hiszpanii.
To szalenie groźne narzędzie oszustów, bo w zainfekowanym smartfonie Flubot „wstrzykuje” fałszywe strony logowania do konkretnych aplikacji.
„Flubot wykorzystuje zainfekowany telefon do dalszego rozsyłania wiadomości phishingowych. Oznacza to, że wraz z każdą infekcją rośnie liczba botów wysyłających wiadomości phishingowe na losowe numery telefonów” – uczula CERT. I dodaje, że ten trojan korzysta z bazy numerów zapisanych w urządzeniu, które zajął.
Kolejny wymieniony to BlackRock. Wśród możliwości BlackRocka można wyróżnić:
- logowanie wpisywanych danych,
- listowanie, przekazywanie oraz wysyłanie sms-ów,
- blokowanie ekranu,
- zbieranie informacji na temat urządzenia oraz powiadomień,
- ukrywanie ikony aplikacji,
- umożliwienie usunięcia aplikacji,
- wstrzykiwanie fałszywych paneli logowania do konkretnych aplikacji.
Następny to ERMAC, czyli bardziej rozbudowana i groźniejsza wersja Cerberusa.
Ciągłe ataki
„Wzorem lat ubiegłych, w 2021 r. szkodliwe oprogramowanie na urządzenia mobilne było najczęściej dystrybuowane za pomocą fałszywych wiadomości sms oraz e-maili, które posiadały odnośniki do odpowiednio spreparowanych stron internetowych. Chociaż witryny te prezentowały różne zawartości, wszystkie miały jeden cel: zachęcenie potencjalnej ofiary do pobrania szkodliwego pliku ze wskazanego zasobu” – opisuje CERT.
I wylicza, że w Polsce mocno działały oprogramowania wykorzystujące logo firmy kurierskiej InPost. Polacy zaczęli otrzymywać sms-y (system wysyła je losowo), które zmuszały do pobrania szkodliwej aplikacji.
Działała także Hydra, czyli przychodziły wiadomości niby od popularnych portali: WP, o2, Onet czy Interia.
„Losowi adresaci na swoje skrzynki pocztowe otrzymywali wiadomości od rzekomego administratora skrzynki. Zależnie od wariantu oszustwa, w treści e-maila znajdowały się informacje o konieczności zatwierdzenia zaktualizowanego regulaminu lub fałszywe powiadomienie o blokadzie konta, spowodowanej rzekomym spamem wychodzącym ze skrzynki” – opisują specjaliści.
Hydra się zmieniała i zaczęła podszywać się pod znaną instytucję finansową. Oszuści wysyłali maile, w których informowali o pozytywnym rozpatrzeniu wniosku kredytowego, rzekomo złożonego przez adresata. W treści znajdował się link do portalu, umożliwiającego przekierowanie pożyczonych pieniędzy na konto bankowe. Po wejściu na stronę ukazywał się widok ponownie informujący odwiedzającego o przyznanej pożyczce, a po kliknięciu w dowolny przycisk na stronie pojawiała się informacja o konieczności pobrania aplikacji.
Z kolei BlackRock wykorzystywał pandemię koronawirusa. Ten program wysyłał sms, w którym zachęcał do pobrania covidowej aplikacji. „Pobranie aplikacji było poprzedzone instrukcją instalacji, która faktycznie informowała, jak obejść systemowe zabezpieczenia ograniczające instalację aplikacji pochodzących z nieznanego źródła” – raportuje CERT.
Ciągła walka
Najgorsze w takich sytuacjach jest to, że oszuści rozwijają swoje trojany. Kiedy reagują eksperci od bezpieczeństwa albo kiedy na fałszywe wiadomości już nikt się nie nabiera, trojan zmienia sposób działania. Tak było w 2021 r. z Flubotem. Działał przez cztery miesiące, a następnie w wysyłanych przez niego wiadomościach zaczęły się pojawiać nazwy firm telekomunikacyjnych zamiast kurierskich.
To jeszcze nie wszystko, bo oszuści używali także wizerunku rządowej aplikacji mObywatel.
„(…) na losowe numery telefonów, przychodziły sms-y informujące o rzekomym odnalezieniu portfela z dokumentami adresata. W treści znajdował się link do strony, która wykorzystywała logo firmy Adobe oraz zachęcała do pobrania wymaganej aktualizacji do Adobe Flash Playera. Podobnie jak w przypadku mObywatela, wskazany zasób udostępniał plik APK, będący tak naprawdę szkodliwym oprogramowaniem z rodziny ERMAC” – opisuje CERT.
Napisz komentarz
Komentarze