O trojanie DHL Paczka

Lekarze określili z nazwy jedną z chorób, które dotyka ludzi XXI wieku. Tzw. „smartfonowy kciuk” wywołany powtarzającym się nienaturalnym ruchem kciuków po klawiaturze smartfona. Świadczy to o wzrastającej potrzebie korzystania z urządzeń mobilnych. Proporcjonalnie zwiększa się liczba dostępnych aplikacji.

Jedną z ważniejszych funkcji w tego rodzaju urządzeniu jest możliwość dokonywania zakupów oraz płatności przez internet. Banki oferują swoje aplikacje ułatwiające płatności online, a firmy kurierskie umożliwiają m.in. śledzenie przesyłek.

Akurat dzisiaj otrzymałem na swoją pocztę e-mail wiadomość od DHL, że powinienem spodziewać się dostawy przesyłki. Nie wywołała we mnie zdziwienia ta informacja, bo faktycznie złożyłem zamówienie i spodziewałem się wizyty kuriera. Z wrodzonej ciekawości upewniłem się, że źródłem wiadomości jest faktycznie operator od DHL. Do czego zmierzam?

Przypomniałem sobie o sprawie fałszywych linków rzekomo sugerujących, że pochodzą od DHL, których uruchomienie z pewnością do dziś wywołuje koszmar u osób, które stały się ofiarą ich następstw.

Schemat postępowania przybrał na swojej masowości. A wygląda on w sposób następujący. Otóż przestępcy wystawiają do sprzedaży np. na olx lub facebook'u asortymenty niezmiennie cieszące się dużym zainteresowaniem odbiorcy, czyli sprzęt elektroniczny, głównie telefony oraz zabawki dla dzieci. Źródła tkwią również w ogłoszeniach zaczynających się od słów „oddam za darmo”. Potencjalny nabywca zainteresowany ofertą kontaktuje się ze sprzedającym na temat szczegółów przedmiotu oraz kosztów związanych z dostawą. Otrzymuje odpowiedź, że jak się zaloguje pod przysłany za chwilę link i wykona polecenia zgodnie z instrukcją, to zminimalizuje koszt wysyłki. Pokrzywdzony oczywiście godzi się na takie rozwiązanie, uznając, że każda zaoszczędzona w ten sposób złotówka świadczy o jego racjonalnym podchodzeniu do wydatków. Przynajmniej w teorii takie założenie wydaje mu się jak najbardziej słuszne. Co się dzieje później? Sprawca daje kolejną wskazówkę, aby telefon wyłączyć i ponownie uruchomić. Po ponownym włączeniu aparatu pojawia się informacja, że aplikacja będzie się pobierała i instalowała, a w tym czasie telefon winien być włączony. Interesująca informacja, prawda? Z tym że to dopiero początek dramatu. Do pokrzywdzonego przychodzi SMS z banku informujący o aktywności na rachunku bankowym. W tym momencie jest to punkt zwrotny w postrzeganiu rzeczywistości przez ofiarę. Niepokój jest uzasadniony, ale na wszelkie działania jest już niestety za późno, pieniądze z konta znikają. Ofiara przestępstwa próbuje interweniować, ale bezskutecznie, telefon nie reaguje na komendy, na wyświetlaczu pojawia się białe tło. Kontrola rachunku bankowego poprzez logowanie możliwa jest tylko z poziomu innego urządzenia, które pokrzywdzony ma pod ręką. Niestety zdarzenie przybiera czarny scenariusz, bo z konta zniknęły oszczędności, co więcej, zostały zaciągnięte kredyty.

Jak to możliwe?

Aplikacja o nazwie DHL-Paczka jest tego przyczyną. Wywołała białe tło w trybie pełnoekranowym, spowodowała automatyczne włączenie WiFi. Ponadto uniemożliwiła zmianę ustawień systemowych, nadała uprawnienia umożliwiające dostęp do pamięci telefonu.

Ofiara przestępstwa klikając na podany w wiadomości tekstowej link http://ekspresowaoplata.pl/aplikacja-dhl spowodowała pobranie aplikacji o nazwie app.apk. Plik ten zainfekowany jest tzw. trojanem i zapewnia zdalny dostęp do zarażonego urządzenia, powodując ujawnienie poufnych danych, a także toruje drogę do urządzenia innemu szkodliwemu oprogramowaniu.

Złośliwa aplikacja DHL-Paczka ma szeroki zakres uprawnień pozwalających na zarządzanie online telefonem komórkowym z systemem android.

Już samo zainstalowanie aplikacji powoduje blokadę telefonu, automatyczne połączenie z siecią WiFi, może także powodować wyświetlanie fałszywych formularzy logowania do rachunków bankowych, by celowo przechwycić wprowadzane za ich pośrednictwem loginy i hasła. Aplikacja ta bez wiedzy użytkownika urządzenia może przechwytywać wiadomości SMS, a co za tym idzie, otrzymane kody do autoryzowania transakcji bankowych online.

Egzegeza opisywanego zdarzenia skłania do następujących wniosków. Użytkownik telefonu po otrzymaniu wiadomości, korzystając z linku http://ekspresowaoplata.pl/i56954/payment.php?p=2, został najprawdopodobniej przekierowany na stronę do elektronicznej płatności bankowej, która w większości jest sprefabrykowaną tj. łudząco podobną do właściwej strony bankowej. Klient, wpisując dane do logowania do swojego konta, standardowo podał login i hasło dostępowe, a tym samym nieświadomie przekazał dane do logowania sprawcy. Pobranie pliku zawierającego złośliwe oprogramowanie tj. app.apk ze strony http://ekspresowaoplata.pl/aplikacja-dhl pozwoliło sprawcy na uzyskaniu dostępu do systemu i aplikacji w telefonie, zakłóciło dostęp do systemu – wyświetlając stale białe tło, uniemożliwiając dokonanie zmian. Sprawca, mając również dostęp do wiadomości SMS, a tym samym do kodów służących do autoryzowania przelewów, stworzył sobie możliwość do wykonywania operacji bankowych na koncie pokrzywdzonego.

Ostrzegam, domena http://ekspresowaoplata.pl została założona na osobę, której prawdopodobnie danych użyto bez jej wiedzy i zgody.

Proces wykrycia sprawcy jest w takim przypadku niezwykle utrudniony, gdyż każdy nowy trop prowadzi do osób, których danymi tylko posłużono się w celu zatarcia śladów i zrealizowania znamion przestępstwa.

Powszechnie głoszona teoria zakłada, że internet nie jest anonimowy, ale nie oznacza to, że proces identyfikacji sprawców przebiega bezproblemowo. Dlatego też najbardziej należy polegać na sobie, na własnej intuicji. Trzeba pamiętać, że korzystanie z telefonu musi być świadome, a instalowanie coraz to nowych aplikacji winno odbywać się za pośrednictwem sprawdzonych źródeł jak np. Sklep Play. Po co uczyć się na swoich błędach jak można na cudzych.