Wreszcie jakiś kreatywny atak, a nie tylko “bony z Biedronki“ – cieszy się serwis niebezpiecznik.pl. W telefonach z androidem pojawiają się SMS-y z numeru INFO, w którym ktoś podszywając się pod “Operatora” (w domyśle GSM) informuje o konieczności zainstalowania certyfikatu “LTE 5+” …ze względu na wejście w życie ustawy RODO.

Po wejściu na stronę, ofiara przez widzi taką instrukcję:

…ale nie zdąży się z nią zapoznać, bo sekundę później strona automatycznie próbuje pobrać na telefon złośliwą aplikację na Androida o nazwie app.apk (MD5: 5263eca3921fb2fdf09401774968666d)

Złośliwa aplikacja prosi podczas instalacji m.in. o takie, niepokojące uprawnienia jak:

Możliwość lokalizacji
Odczytywanie kontaktów
Tworzenie i wysyłanie SMS-ów
Tworzenie i odczytywanie plików na urządzeniu
Dostęp do poczty głosowe
Możliwość wykonywania połączeń telefonicznych
I miejmy nadzieję, że prośba o takie uprawnienia wyda się każdemu podejrzana i zniechęci do instalacji. Na szczęście szczęście o godz. 8:00 dziś aplikacja jest już rozpoznawana jako złośliwa przez 27/60 antywirusów.
To pierwszy atak nakłaniający do złego pod pretekstem wchodzącej w życie ustawy RODO. Każdy o niej słyszał, każdy się jej boi, prawie nikt jej nie rozumie. A więc jest to idealnie enigmatyczny pretekst do wymuszania “działań”. Zwłaszcza, że na skrzynki Polaków od początku maja spływa masa regulaminów, które trzeba potwierdzić bo inaczej zablokują konto (por. Wyraź zgodę albo skasujemy ci konto) albo każą płacić. Przestępca co prawda pisze, że ustawa już weszła, więc tym zdaniem pewnie ochroni prawników i informatyków przed infekcją. Atak dotyczy tylko Androida. I w zasadzie tylko tych jego naiwnych użytkowników, którzy zastosują się do instrukcji zezwolenia na instalowanie aplikacji z nieznanych źródeł. Nigdy tego nie róbcie.
Znów wychodzi na to, że korzystanie z iPhone (i Google Chrome) jest najbezpieczniejsze dla przeciętnego użytkownika pod kątem ryzyka infekcji złośliwym oprogramowaniem. Na iPhonie w zasadzie nie da się zainstalować złośliwej aplikacji. Aplikacje wgrywane do sklepu Apple (w zasadzie jedyna droga instalacji dla zwykłego użytkownika) przechodzą o wiele dokładniejszą weryfikację niż aplikacje wgrywane do sklepu Google.
Atak ma niższą skuteczność niż mógłby mieć przez automatyczne wywoływanie pobierania aplikacji po wejściu na stronę. Ofiara nie zdąży się zapoznać z treścią instrukcji jak zainstalować “certyfikat”. To miły gest przestępcy. W dodatku wersja “desktopowa” przeglądarki Chrome już blokuje plik .apk jako złośliwy (co ciekawe, wersja mobilna nie).
Za atakiem być może stoją Polacy, bo jest przygotowany prawie idealnym językiem polskim, ale w kodzie strony pozostało kilka błędów wskazujących na poprzednie kampanie, m.in. odwołanie do domeny dpplatnosc[.]pl wykorzystywanej do oszustw na “lewego Dotpay’a“, które ostatnio w unowocześnionej wersji są znów aktywne na OLX w wariancie “na kuriera”.