Korzystacie z aplikacji mObywatel? Ja tak, począwszy od dowodu osobistego w „opakowaniu zastępczym” poprzez prawo jazdy, Kartę Dużej Rodziny, na certyfikacie szczepienia skończywszy (a mam wrażenie, że odpowiedzialni za tę apkę nie powiedzieli jeszcze ostatniego słowa). W mojej opinii to jeden z elementów „ucyfrowienia” naszego kraju, z którego możemy być dumni.
Niestety (jak zazwyczaj w tym miejscu piszę) – przestępcy też o tym wiedzą.
Prawie jak mObywatel
Wygląda jak prawdziwa, prawda? Przypomina co do joty podstronę Sklepu Play. Z tą różnicą, że można ją było znaleźć pod adresem m-obywatel.pl. Na tę witrynę już nie wejdziecie, w rejestrze DNS ma zapis „Trwa postępowanie wyjaśniające [REGISTERED, ze statusem clientHold/serverHold]”. A to dlatego, że – jak możecie się domyślać – nie miała nic wspólnego z aplikacją mObywatel. To faktycznie plik APK, ale aplikacja, którą zainstalujemy, to wyrafinowany trojan bankowy Alien.
Alien to mutacja popularnego Cerberusa. Pozwalająca ona m.in. na wyświetlanie tzw. nakładek. Dzieje się tak np. w przypadku korzystania z aplikacji bankowych, gdzie wpisywane poświadczenia logowania trafiają automatycznie do złodziei. A ponieważ Alien potrafi dużo więcej – przekazuje im też SMSy (m.in. z kodem do przeprowadzenia transakcji bankowej). Poza tym umie jeszcze parę innych drobiazgów – zapisywać naciśnięcia przycisków, czy przechwytywać dane lokalizacyjne z naszego smartfona.
Pop-up jak prawdziwy
Gdyby tekst skończył się tutaj, byłby trochę za krótki, prawda? Dobra, żartuję – po prostu mam jeszcze jedno, nieco odmienne ostrzeżenie. Zdarza się Wam czasami, że system operacyjny, bądź jakaś aplikacja, pokażą ekran z bijącym po oczach ostrzeżeniem? O, i jeszcze z wielkim białym krzyżem na czarnym tle. Na przykład taki:
Temu też bez większego trudu można by uwierzyć, prawda? Tylko, że jeśli klikniemy „Free memory”, ściągniemy plik MemoryUpdate.exe, z którego zainstalujemy… trojana Glubpteba (co nieco tego świństwa ciągle w naszej sieci lata, mimo regularnych kampanii CyberTarczy). On dla odmiany zawiera moduły do kopania kryptowalut, do kradzieży danych z przeglądarki, do rozprzestrzeniania się po sieci lokalnej (przy użyciu niesławnego exploitu EternalBlue), czy do ataku na routery dostępne w internecie (głównie MicroTik).
Co robić?
W pierwszym przypadku jak zawsze – nie ufać dziwnym stronom na komputerze stacjonarnym, aplikacje mobilne instalujemy WYŁĄCZNIE korzystając z aplikacji Sklepu Play. W drugim już nie jest tak łatwo. Stawiam, że 99% internautów (no, może 98) uzna ten pop-up za prawdziwy… Ja bym radził przede wszystkim czytać to, co się pojawia w takich oknach i z zasady nie ufać takim, które nie dają możliwości wyboru. „Zrób to co chcemy” i nic więcej – to jest na pewno coś, co powinno nam zapalić czerwoną lampkę. A jak to zamknąć, skoro nie ma krzyżyka w rogu? Wciskamy ctrl-alt-del, wybieramy Menedżer Zadań a tam znajdujemy aplikację, której nie znamy. Najeżdżamy na nią i wciskamy „zamknij” do momentu, aż okienko się zamknie.
