Na przełomie października i listopada 2019 r. wystąpiły kolejne przypadki podszywania się w wiadomościach SMS pod firmę InPost. Operator zaleca wzmożoną uwagę i ostrożność w podawaniu swoich danych oraz klikaniu w podejrzane komunikaty czy wiadomości.
Link zawarty w treści SMS-a może kierować do niebezpiecznych zawartości i spowodować np. wyłudzenie informacji, pieniędzy lub uszkodzenie urządzenia. InPost podkreśla, że nigdy nie wysyła SMS-ów z informacją o dopłatach, „a tym bardziej z linkami zewnętrznymi”. Firma przypomina na swojej stronie, że wszelkie informacje na temat rozliczeń pojawiają się wyłącznie w Managerze Paczek lub na fakturze.
Cerberus – trojan typu malware-as-a-service
Dokładnie nowemu zagrożeniu przyjrzeli się specjaliści ds. incydentów cybernetycznych z zespół CERT Polska. Cerberus to kolejna odmiana złośliwego oprogramowania atakującego użytkowników z systemem Android. Trojan malware-as-a-service pozwala, według jego autorów (profil na Twitterze @AndroidCerberus), na wyłączenie Google Play Protect, przechwytywanie komunikacji SMS, uruchamianie i usuwanie zainstalowanych aplikacji, otwieranie adresów URL, wyświetlanie fałszywych powiadomień z aplikacji bankowych, a także wykradanie danych przy użyciu keyloggera (rejestratora klawiszy).
Jak to działa?
Złośliwy kod jest rozsyłany wiadomością SMS z informacją o śledzeniu przesyłki za pomocą aplikacji mobilnej, wraz z linkiem do jej pobrania. Jednym z głównych celów oszustów są aplikacje do obsługi bankowości internetowej i poczty. Program, po udzieleniu mu zezwolenia na korzystanie z usług ułatwień dostępu, przyznaje sobie m.in. dostęp do listy kontaktów, status administratora urządzenia oraz staje się domyślną aplikacją do obsługi wiadomości tekstowych.
Okno z fałszywą aplikacją do śledzenia przesyłki. Źródło: cert.pl
Aby zainstalować złośliwe oprogramowanie użytkownik musi pobrać plik z linka w SMS-ie oraz mieć wyłączoną blokadę instalacji aplikacji spoza oficjalnego sklepu Google Play. Analizowana przez CERT wersja trojana nie domaga się przydzielenia uprawnień w czasie instalacji, co może uśpić czujność użytkowników. Dopiero jej pierwsze uruchomienie skutkuje pojawieniem się okna, które w natarczywy sposób domaga się wyrażenie zgody na korzystanie z usług ułatwień dostępu.
Uruchomiony Cerberus. Źródło: Cert.pl
Zapytanie o przydzielenie uprawnień dostępności. Źródło: Cert.pl
Ułatwienia dostępu stworzone domyślnie dla wsparcia obsługi systemu Android przez osoby niepełnosprawne, za sprawą Cerberusa zostały użyte do przejęcia kontroli nad urządzeniem. Trojan może dzięki nim wchodzić w interakcje. Jeżeli użytkownik udzieli zgody na korzystanie przez Cerberusa z opcji ułatwienia dostępu, wówczas program dalsze uprawnienia może pozyskiwać już bez naszej zgody.
CERT zwraca uwagę na sposób dystrybucji złośliwej aplikacji poza sklepem Google, przez co nie może ona domyślnie zainstalować się na urządzeniach z Androidem. Również natarczywość w domaganiu się udzielenia uprawnień do którejś z funkcjonalności powinna stać się przestrogą dla użytkowników.
Szczegółowe informacje nt. trojana Cerberus dostępne są [tutaj].
Marcin Loch/Ostrzegamy.online