Bezpieczeństwo

Sprytny atak na klientów Pekao. Wyczyszczą konto zanim mrugniesz

Zespół CSIRT KNF, we współpracy z CERT Orange Polska, odkrył nową kampanię, w której oszuści podszywają się pod bank Pekao. 

Damian Jaroszewski (NeR1o)
DAMIAN JAROSZEWSKI (NER1O) 14 LUT 2024
2
Udostępnij na fb
Udostępnij na X
Sprytny atak na klientów Pekao. Wyczyszczą konto zanim mrugniesz

W nowej kampanii phishingowej cyberprzestępcy wykorzystują reklamy na Facebooku do dystrybucji złośliwego oprogramowania na Androida. W tym celu podszywają się pod bank Pekao S.A. oraz aplikację PeoPay. Zainstalowanie appki na telefonie lub tablecie może wiązać się z poważnymi konsekwencjami.

Dalsza część tekstu pod wideo

Oszuści podszywają się pod Pekao i PeoPay

W ramach działać operacyjny zespół CSIRT KNF przeanalizował próbkę aplikacji. Ma ona identyfikator "com.immune.park" i prosi o dostęp do wielu uprawnień, w tym między innymi: sieci WiFi, Bluetooth, zapisu i odczytu danych z pamięci zewnętrznej, SMS-ów, dostępu do lokalizacji, a także kamery i mikrofonu.

Wybrane okazje dla Ciebie
Kosiarka akumulatorowa GARDENA PowerMax 37/36V P4A (bez akumulatora) 14638-55
Kosiarka akumulatorowa GARDENA PowerMax 37/36V P4A (bez akumulatora) 14638-55
0 zł
1117 zł - najniższa cena
Kup teraz 1117 zł
Kapsułki do prania MIELE Outdoor WA COU 0603 L - 12 szt.
Kapsułki do prania MIELE Outdoor WA COU 0603 L - 12 szt.
0 zł
159.98 zł - najniższa cena
Kup teraz 159.98 zł
Robot sprzątający SETTI+ RV800
Robot sprzątający SETTI+ RV800
-683.01 zł
1199 zł - najniższa cena
Kup teraz 515.99 zł
Advertisement

Niektóre z tych uprawnień są krytyczne pod względem prywatności, co oznacza, że aplikacja ma możliwość dostępu do wrażliwych danych użytkownika i zasobów systemu.

- ostrzega CSIRT KNF.

Z analizy wynika, że aplikacja żąda uprawnień do SMS-ów, a następnie otwiera stronę internetową "https[://]peo-pay-smart.ssmnoida[.]in/" (w pewnych przypadkach do URL jest dodawany parametr "1/?land=riz&id="). Dodatkowo w konfiguracji komponentu WebView widać takie ustawienia, jak:

  • Zezwolenie na cookies stron trzecich.
  • Włączenie obsługi JavaScript.
  • Umożliwienie automatycznego otwierania okien przez JavaScript.
  • Zezwalanie na dostęp do plików.
  • Ustawianie domyślnego powiększenia i innych opcji wyświetlania, aby poprawić kompatybilność i użytkowanie.
  • Ustawienie niestandardowego ciągu user-agenta dla WebView ("Mozilla/5.0 (Linux; U; sugarisfree 2.0;  en-us; Droid Build/ESD20panicake) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Mobile Safari/530.17").

Poza tym aplikacja wykrada SMS-y, w tym także te niewysyłane. Zdaniem ekspertów ma praktycznie pełną obsługę wiadomości tekstowych. Prawdopodobnie też przez komponent WebView prezentuje fałszywą stronę logowania do banku, co pozwala na kradzież poświadczeń logowania, a następnie przez SMS zdobywa kod uwierzytelniający.

W skrócie zainstalowanie aplikacji na swoim urządzeniu jest niezwykle niebezpieczne i może doprowadzić do kradzieży pieniędzy z konta. Dane fałszywej appki to:

  • Nazwa aplikacjiPeoPay Smart (com.immune.park)
  • Md5: b1940ef6bf923ec8495bc2f6ebcbe135
  • Sha1: 967f951fff220f8903fc1ece4d10dc2820dc27f3
  • Sha256:db0fba3e7e05c7800b533d9a3ac0cd12f4500c3ec17aba1bd77ba40461dae6e0

Zobacz: Fiskus skontroluje 17 mln Polaków. Nowa zasada od 1 lipca
Zobacz: Banki w Polsce żerują na ofiarach? UOKiK sprawdzi 15 instytucji

Image
telepolis
pekao Pekao S.A. peopay
Zródła zdjęć: własne
Źródła tekstu: CSIRT KNF