Przejdź do głównych treściPrzejdź do wyszukiwarkiPrzejdź do głównego menu
czwartek, 21 listopada 2024 13:02
Reklama

Hydra i Flubot. Te trojany najczęściej atakują smartofny

Same wysyłają sms-y do naszych znajomych. Informują o czekającej na odbiór paczce, a nawet o zgubionym portfelu. Tak trojany atakują w Polsce smartfony.
Hydra i Flubot. Te trojany najczęściej atakują smartofny

Autor: iStock

Według Urzędu Komunikacji Elektronicznej 80,4 proc. ankietowanych Polaków używa smartfonów. Jednocześnie 74 proc. użytkowników spotkało się z usługą automatycznych sms-ów.

„Popularność smartfonów i automatycznych sms-ów dostrzegli również przestępcy. Coraz częściej przygotowują kampanie phishingowe nakierowane na ich użytkowników oraz złośliwe oprogramowanie na platformy mobilne” – alarmuje CERT Polska, czyli część NASK – Państwowego Instytutu Badawczego. Pracujący w nim eksperci stoją na straży polskiego internetu.

Okazuje się, że mają czego pilnować, bo tylko w 2021 r. do CERT trafiło ponad 17,5 tys. zgłoszeń dotyczących szkodliwych aplikacji na systemy operacyjne Android.

Trojany atakują

Jakie najczęściej trojany atakują urządzenia polskich użytkowników? Pierwszy na liście jest Flubot (nazwyany także Cabassous). Zauważono go już pod koniec 2020 roku w Finlandii i Hiszpanii.

To szalenie groźne narzędzie oszustów, bo w zainfekowanym smartfonie Flubot „wstrzykuje” fałszywe strony logowania do konkretnych aplikacji.

„Flubot wykorzystuje zainfekowany telefon do dalszego rozsyłania wiadomości phishingowych. Oznacza to, że wraz z każdą infekcją rośnie liczba botów wysyłających wiadomości phishingowe na losowe numery telefonów” – uczula CERT. I dodaje, że ten trojan korzysta z bazy numerów zapisanych w urządzeniu, które zajął.

Kolejny wymieniony to BlackRock. Wśród możliwości BlackRocka można wyróżnić:

  • logowanie wpisywanych danych,
  • listowanie, przekazywanie oraz wysyłanie sms-ów,
  • blokowanie ekranu,
  • zbieranie informacji na temat urządzenia oraz powiadomień,
  • ukrywanie ikony aplikacji,
  • umożliwienie usunięcia aplikacji,
  • wstrzykiwanie fałszywych paneli logowania do konkretnych aplikacji.

Następny to ERMAC, czyli bardziej rozbudowana i groźniejsza wersja Cerberusa.

Ciągłe ataki

„Wzorem lat ubiegłych, w 2021 r. szkodliwe oprogramowanie na urządzenia mobilne było najczęściej dystrybuowane za pomocą fałszywych wiadomości sms oraz e-maili, które posiadały odnośniki do odpowiednio spreparowanych stron internetowych. Chociaż witryny te prezentowały różne zawartości, wszystkie miały jeden cel: zachęcenie potencjalnej ofiary do pobrania szkodliwego pliku ze wskazanego zasobu” – opisuje CERT.

I wylicza, że w Polsce mocno działały oprogramowania wykorzystujące logo firmy kurierskiej InPost. Polacy zaczęli otrzymywać sms-y (system wysyła je losowo), które zmuszały do pobrania szkodliwej aplikacji.

Działała także Hydra, czyli przychodziły wiadomości niby od popularnych portali: WP, o2, Onet czy Interia.

„Losowi adresaci na swoje skrzynki pocztowe otrzymywali wiadomości od rzekomego administratora skrzynki. Zależnie od wariantu oszustwa, w treści e-maila znajdowały się informacje o konieczności zatwierdzenia zaktualizowanego regulaminu lub fałszywe powiadomienie o blokadzie konta, spowodowanej rzekomym spamem wychodzącym ze skrzynki” – opisują specjaliści.

Hydra się zmieniała i zaczęła podszywać się pod znaną instytucję finansową. Oszuści wysyłali maile, w których informowali o pozytywnym rozpatrzeniu wniosku kredytowego, rzekomo złożonego przez adresata. W treści znajdował się link do portalu, umożliwiającego przekierowanie pożyczonych pieniędzy na konto bankowe. Po wejściu na stronę ukazywał się widok ponownie informujący odwiedzającego o przyznanej pożyczce, a po kliknięciu w dowolny przycisk na stronie pojawiała się informacja o konieczności pobrania aplikacji.

Z kolei BlackRock wykorzystywał pandemię koronawirusa. Ten program wysyłał sms, w którym zachęcał do pobrania covidowej aplikacji. „Pobranie aplikacji było poprzedzone instrukcją instalacji, która faktycznie informowała, jak obejść systemowe zabezpieczenia ograniczające instalację aplikacji pochodzących z nieznanego źródła” – raportuje CERT.

Ciągła walka

Najgorsze w takich sytuacjach jest to, że oszuści rozwijają swoje trojany. Kiedy reagują eksperci od bezpieczeństwa albo kiedy na fałszywe wiadomości już nikt się nie nabiera, trojan zmienia sposób działania. Tak było w 2021 r. z Flubotem. Działał przez cztery miesiące, a następnie w wysyłanych przez niego wiadomościach zaczęły się pojawiać nazwy firm telekomunikacyjnych zamiast kurierskich.

To jeszcze nie wszystko, bo oszuści używali także wizerunku rządowej aplikacji mObywatel.

„(…) na losowe numery telefonów, przychodziły sms-y informujące o rzekomym odnalezieniu portfela z dokumentami adresata. W treści znajdował się link do strony, która wykorzystywała logo firmy Adobe oraz zachęcała do pobrania wymaganej aktualizacji do Adobe Flash Playera. Podobnie jak w przypadku mObywatela, wskazany zasób udostępniał plik APK, będący tak naprawdę szkodliwym oprogramowaniem z rodziny ERMAC” – opisuje CERT.


Podziel się
Oceń

Napisz komentarz

Komentarze

Reklama
Reklama
Reklama
opady śniegu

Temperatura: 2°C Miasto: Wieliczka

Ciśnienie: 1002 hPa
Wiatr: 2 km/h

Reklama
Reklama
Ostatnie komentarze
Autor komentarza: BogdanTreść komentarza: Bardzo miło że zostało uwzględnione twórczość Wiesłwa SiekierskiegoData dodania komentarza: 5.01.2024, 21:55Źródło komentarza: ŚMIERĆ i MIŁOŚĆ” w Wielickiej MediateceAutor komentarza: Bogdan MTreść komentarza: Bardzo miło że uwzględniliście Państwo twórczość Wiesława SiekierskiegoData dodania komentarza: 5.01.2024, 21:54Źródło komentarza: ŚMIERĆ i MIŁOŚĆ” w Wielickiej MediateceAutor komentarza: Krys34Treść komentarza: No sprawa już trafiła do prokuratury a Kwaśny miał przywłaszczyć 200 tys. Zł.Data dodania komentarza: 24.09.2023, 12:12Źródło komentarza: Ciesielczyk chce odwołania Kwaśnego z funkcji przewodniczącego Rady Miejskiej w Tarnowie po wybuchu afery na Uniwersytecie Ekonomicznym w KrakowieAutor komentarza: observeTreść komentarza: własnej ciąży - to sama sobie ją zrobiła ?Data dodania komentarza: 21.07.2023, 16:48Źródło komentarza: Oczekujemy od innych sił politycznych jasnej deklaracji, że prawo do przerywania ciąży będzie zagwarantowaneAutor komentarza: HajaTreść komentarza: Obwodnica oddana do użytku rok temu a TIRy jak jeździły tak jeżdżą pomimo zakazuData dodania komentarza: 7.03.2023, 20:00Źródło komentarza: Koniec z ciężarówkami jadącymi przez PodłężeAutor komentarza: Uzyskaj pożyczkę tutajTreść komentarza: Złóż wniosek o pomoc finansową tutaj z niskim oprocentowaniem 2%, aby uzyskać więcej informacji, skontaktuj się ze mną, korzystając z poniższych danych. https://en.wikipedia.org/wiki/Stefano_Pessina [email protected] WhatsApp: +48 732 104 284 Ciepłe powitanie Wiceprezes i Dyrektor Generalny, Walgreens Boots Alliance. Stefano PessinaData dodania komentarza: 1.06.2022, 11:27Źródło komentarza: Rozbudowa drogi powiatowej w Grajowie
Reklama
Reklama
Reklama