Phishingowa aplikacja to fakt. Okazuje się, że nawet aplikacja z oficjalnego sklepu nie musi być legalna… Mimo coraz lepszych sposobów Google na wykrycie takich złośliwych aktywności na etapie publikacji aplikacji… Wciąż zdarzają się takie, które doskonale sobie radzą. 

Wszystko dlatego, że… w zasadzie nie robią nic złośliwego. Okazuje się jednak, że to tylko phishing opakowany w formę pliku APK. Jedną z takich aplikacji jest Orlen Inwestycje.

Phishingowa aplikacja w oficjalnym sklepie

Co ciekawe, nie ma tutaj żadnej konieczności zgody na instalację. Z kolei po zainstalowaniu aplikacji i jej uruchomieniu ukazuje się pewien formularz. 

Warto w międzyczasie zaznaczyć, że wygląd bliźniaczo przypomina graficznie tych, podszywających się pod inwestycje naftowego giganta. Dla uwiarygodnienia zmieniono je w formę aplikacji mobilnej.

Czytaj też: Fałszywe inwestycje. Poznaj metody cyberprzestępców!

Tymczasem, do pobrania URL z formularzem phishingowym aplikacja używa platformy Firebase. Z kolei pobrane dano wyglądają tak:

{„af_id”:”ZskNNfyEQYMbgpPeYVDZ8j”,”message_welcome”:”https:\/\/app.neogara.com\/api\/pub\/links?apiKey=h4mNLOctjHCLRMNsBc”,”show_ad”:”true”}

Phishingowa aplikacja w oficjalnym sklepie

W polu “message_welcome” znajduje się interesujący nas adres URL. W efekcie, by otrzymać kompletny adres, który umożliwi przekierowanie na docelowy formularz, należy przyjrzeć się następującej części kodu aplikacji:

  • String string = this.sharedPreferences.getString(„conv_camp”, „”);
  • – || – 2 = this.sharedPreferences.getString(„sub1”, „”);
  • – || – 3 = this.sharedPreferences.getString(„sub2”, „”);
  • String string4 = this.sharedPreferences.getString(„sub3”, „”);
  • – || – 5 = this.sharedPreferences.getString(„sub4”, „”);
  • – || – 6 = this.sharedPreferences.getString(„sub5”, „”);
  • String string7 = this.sharedPreferences.getString(„sub6”, „”);
  • – || – 8 = this.sharedPreferences.getString(„sub7”, „”);
  • – || – 9 = this.sharedPreferences.getString(„URL”, „”);
  • String string10 = this.sharedPreferences.getString(„deviceID”, „”);
  • – || – 11 = this.sharedPreferences.getString(„af_ID”, „”);
  • SharedPreferences.Editor edit9 = this.sharedPreferences.edit();
  • edit9.putString(„SAVED_URL”, string9 + string + string2 + string3 + string4 + string5 + string6 + string7 + string8 + „&sub_id_8={clickKey}&deviceID=” + string10 + „&afid=” + string11 + „&appId=com.orlenpl.financer”).apply();

Interesuje nas więc przede wszystkim pole “SAVED_URL” z tzw. “Udostępnionych preferencji” (ang. Shared preferences). Po dodaniu niezbędnych parametrów do zapytania http get otrzymujemy URL:

hxxps://app[.]neogara.com/api/pub/links?apiKey=h4mNLOctjHCLRMNsBc&deviceID=123451234&afid=ZskNNfyEQYMbgpPeYVDZ8j&appId=com.orlenpl.financer

Prowadzi on do serii przekierowań. W efekcie, na jednej z tych domen znajduje się też formularz ze ścieżką “/test” z treścią w języku rosyjskim. Phishingowa aplikacja dokonuje więc tego, co sobie zaplanowała!

Phishingowa aplikacja w oficjalnym sklepie

Docelowo trafiamy na właściwy URL – co ciekawe dostępny również z przeglądarki na PC – URL: hxxps://foxassessment[.]info?group=117&pid=4ssn3x&isApp=true.

Czytaj też: Uwaga na SMSy podszywające się pod PGE

To samo, co w przypadku wpisania naszych danych na stronie WWW. Trafiają one do oszustów. 

Później z kolei mogą zostać wykorzystane do kolejnych akcji phishingowych. Jednak przede wszystkim, po wpisaniu danych w takiej aplikacji, powinniśmy spodziewać się telefonu. Tutaj nikt nie będzie nas namawiał do inwestycji! W najlepszej sytuacji dostaniemy dane do wpłaty kilkuset złotych, których potem już nigdy nie zobaczymy. W najgorszym z kolei sam oszust będzie chciał przekonać nas do zainstalowania na komputerze aplikacji zdalnego pulpitu, co da mu dostęp do wszystkich naszych danych, w tym loginów i haseł.

Czytaj też: Ataki na klientów iPKO

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *