Lepiej usuń to z telefonu. Wyczyści konto twoje i rodziców

Robią seniorom piekło pod przykrywką grup na Facebooku

Cyberprzestępcy tworzą fałszywe grupy na Facebooku, promujące „aktywne wycieczki dla seniorów” z wykorzystaniem treści generowanych przez sztuczną inteligencję. Grupy te celują w osoby starsze, poszukujące sposobów na aktywności społeczne, spotkania czy wspólne wyjazdy.

Gdy któraś z ofiar wyrazi zainteresowanie wydarzeniem, następuje kontakt przez Messengera lub WhatsAppa. To ścieżką rozsyłane są linki do plików instalacyjnych aplikacji (APK), które rzekomo mają służyć do rejestracji na wydarzeniu i pozwalać na poznawanie innych uczestników. I tak zaczyna się piekło.

Ty cieszysz się na wspólny wyjazd, oni czyszczą ci konto

Datzbro, podobnie jak inne trojany bankowe, ma szerokie spektrum szkodliwych funkcji. Od nagrywania dźwięku, przez robienie zdjęć, dostęp do plików, po prowadzenie oszustw finansowych poprzez zdalne sterowanie. Oprogramowanie wykorzystuje usługi dostępności Androida do wykonywania działań w imieniu ofiary.

Unikalną cechą jest schematyczny tryb zdalnego sterowania, który pozwala na przesyłanie informacji o wszystkich elementach wyświetlanych na ekranie, ich pozycji i zawartości. Umożliwia to operatorom odtworzenie układu i dyskretne przejęcie kontroli nad urządzeniem.

Malware może również wyświetlać półprzezroczyste czarne nakładki z niestandardowym tekstem, ukrywając złośliwą aktywność przed ofiarą. Dodatkowo kradnie PIN-y blokady ekranu oraz do aplikacji społecznościowych.

Datzbro pochodzi z Chin, ataki odnotowywane są na całym świecie

Analiza kodu wskazuje na chińskojęzyczną grupę sprawców — w kodzie źródłowym znaleziono chińskie ciągi debugujące. Aplikacje łączą się z serwerem C2 w postaci chińskojęzycznej aplikacji desktopowej, co odróżnia Datzbro od innych rodzin malware używających paneli webowych.

Pierwsze ataki z użyciem nowego malware zostały odnotowane w sierpniu tego roku. Podejrzane grupy zostały zgłoszone na Facebooku przez użytkowników z Australii. Kolejne ataki objęły Singapur, Malezję, Kanadę, RPA i Wielką Brytanię.

Problem dotyczy przede wszystkim urządzeń z Androidem, które pozwalają na proste ominięcie ograniczeń instalowania aplikacji z nieznanych źródeł. Przestępcy zaczynają jednak udostępniać też linki dla iOS, co sugeruje, że albo udaje im się omijać zabezpieczenia App Store, albo korzystają z zewnętrznych sklepów z aplikacjami na iOS, które zaczynają się pojawiać w Europie po wymuszeniu na Apple'u większej konkurencyjności w tej dziedzinie.

Jak skasować Datzbro i chronić siebie oraz bliskich przed atakami?

Przede wszystkim warto zacząć od edukacji, szczególnie osób nieświadomych zagrożeń czyhających w Internecie. Instalowanie aplikacji z zewnętrznych źródeł warto pozostawić programistom i osobom, które naprawdę wiedzą, co robią i jak ryzykują. Jeśli coś instalować, to wyłącznie ze Sklepu Play pod Androidem lub Apple App Store pod iOS.

Druga sprawa to częste kontrole zawartości listy aplikacji w telefonach seniorów. Warto usiąść z rodzicami czy dziadkami i w przyjaznej atmosferze zapytać, do czego są im poszczególne aplikacje i skąd wzięły się w pamięci telefonu. Pytajmy też, czy telefon nie zaczął zachowywać się dziwnie i czy nie niepokoją ich jakieś nietypowe komunikaty albo wyjątkowo szybkie rozładowywanie się urządzenia. W ustawieniach Androida można też przejrzeć uprawnienia aplikacji, szczególnie przeglądarki internetowej — ta nie powinna mieć włączonej możliwości instalacji zewnętrznych aplikacji.

Oto przykładowe nazwy aplikacji zawierających malware Datzbro, ale warto pamiętać, że atakujący mają pełną dowolność w nazewnictwie:

• Senior Group (twzlibwr.rlrkvsdw.bcfwgozi)
• Lively Years (orgLivelyYears.browses646)
• ActiveSenior (com.forest481.security)
• DanceWave (inedpnok.kfxuvnie.mggfqzhl)
• 作业帮 (io.mobile.Itool）
• 麻豆传媒 (fsxhibqhbh.hlyzqkd.aois
• 麻豆传媒 (mobi.audio.aassistant)
• 谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
• MT管理器 (varuhphk.vadneozj.tltldo)
• MT管理器 (spvojpr.bkkhxobj.twfwf)
• 大麦 (mnamrdrefa.edldylo.zish)
• MT管理器 (io.red.studio.tracker)

Po tych wszystkich porządkach nie zaszkodzi też skorzystać z jednego z gotowych rozwiązań do sprawdzania bezpieczeństwa telefonu. Przez długi czas polecane na Telepolis aplikacje mobilne sprawdzaliśmy pakietem ESET Mobile Security Antivirus, ale tego typu rozwiązań jest do wyboru znacznie więcej w sklepie Google'a, firm AVG, Avast czy Malwarebytes.