Polityka i prawo
Fałszywe aplikacje InPost. Ostrzeżenie dla klientów
InPost nie pierwszy raz pada ofiarą cyberprzestępców. Tym razem wyrafinowana kampania zachęca do pobrania zainfekowanej aplikacji, która umożliwia przekazanie danych logowania do aplikacji bankowych wykorzystywanych przez użytkownika.
Do klientów InPostu przesyłano SMS z zawiadomieniem o otrzymaniu przesyłki oraz linkiem do pobrania aplikacji, który kierował do strony łudząco podobnej do oryginalnej strony InPostu. Aby uwiarygodnić akcję, w wiadomości do potencjalnych ofiar przesyłano również informację, że z wstrzymano zostało przesyłanie sms informujących o statusie przesyłki z uwagi na …. falę fałszywych sms.
Fałszywymi wiadomościami oraz aplikacją zajął się zespół ds. szybkiego reagowania z NASK a wyniki prac opublikowano na CERT.pl. Po przeprowadzeniu analizy, rzekoma aplikacja okazała się być trojanem bankowym znanym jako Cerberus. Jak podkreślono w analizie "Dystrybucja złośliwego kodu opierała się o wysyłkę wiadomości SMS z informacją o śledzeniu przesyłki za pomocą aplikacji mobilnej, wraz z linkiem do jej pobrania. Jedną z podstawowych funkcji bota było wykradanie danych logowania do wybranych aplikacji".
Mechanizm funkcjonowania jest bardzo prosty – złośliwa aplikacja po zainstalowaniu tworzyła specjalną nakładkę na wykorzystywaną przez użytkownika aplikację bankową, a po zalogowaniu przez nieświadomą ofiarę, ta przekazywała dane logowania przestępcom. Warunkiem udanego przejęcia danych była zainstalowana na urządzeniu aplikacja bankowa, na którą przestępcy posiadali przygotowaną nakładkę.
Jak czytamy w analizie, złośliwe oprogramowanie umożliwiało np. na wyłączenie Google Play Protect, przechwytywanie komunikacji SMS, uruchamianie i usuwanie zainstalowanych aplikacji, otwieranie adresów URL, wyświetlanie fałszywych powiadomień z aplikacji bankowych, unikanie analizy poprzez stosowanie technik anty-emulacji, a w niektórych wypadkach także wykradanie danych przy użyciu keyloggera.
"Przypominamy, że dla własnego bezpieczeństwa oprogramowanie należy instalować jedynie z oficjalnego źródła – sklepów Google Play i App Store. Osoby, które zainstalowały program z domeny przestępców powinny niezwłocznie przywrócić telefon do ustawień fabrycznych" – ostrzega InPost w komunikacie w mediach społecznościowych. Jak podkreśla firma „Informujemy, że InPost NIGDY nie wysyła SMS-ów z linkami kierującymi do stron poza domeną inpost.pl.”
