Uporabniki naprav z operacijskim sistemom Android pozor! Razhaja nov trojanec

Nacionalni odzivni center za kibernetsko varnost SI-CERT, ki opravlja koordinacijo razreševanja incidentov, tehnično svetovanje ob vdorih, računalniških okužbah in drugih zlorabah in ki deluje v okviru ARNESa, je včeraj na svoji spletni strani izdal opozorilo o trojancu za Android mobilne naprave, ki je pričel razhajati v minulih dneh tega meseca.




V prvi polovici julija 2019 so na SI-CERT prejeli vrsto prijav SMS sporočil, ki so vabila k ogledu fotografije na spletni povezavi. Ta je v večini primerov (preko več preusmeritev) vodila do spletne stani lažnih nagradnih iger v imenu različnih slovenskih podjetij. “Uporabnikom, v primeru prejema tovrstnega SMS sporočila svetujemo, da le-ta enostavno ignorirajo in na povezavo, ki jo sporočilo vsebuje, ne klikajo,” so zapisali.

Ob obisku spletnih povezav iz sporočil se izvede preusmeritev na ciljni naslov le v primeru, če uporabimo mobilno napravo (ali ustrezno prilagodimo parameter User-Agent pri podaji zahteve). Iz večkratnega pregleda spletnih naslovov iz SMS sporočil so ugotovili različne možne “scenarije”:

1. preusmeritev pelje na spletno stran z lažno nagradno igro, kjer se zlorablja grafične elemente in imena različnih slovenskih podjetij;
2. preusmeritev vodi do strani različnih spletnih igralnic;
3. preusmeritev vodi do spletne strani, iz katere se prenese mobilna aplikacija.

Še posebej zanimiva je ta zadnja možnost, saj lahko sklepamo, da gre za poskus zlorabe naprave uporabnika. “Preusmeritev je vodila na spletno stran preko katere se na mobilni telefon prenese .apk datoteka. Uporabnika operacijski sistem naprave opozori, da gre za verjetno zlonamerno aplikacijo. Če datoteko kljub opozorilu prenesemo in zaženemo, nas sistem opozori, da je nameščanje iz nepreverjenih virov blokirano. Če v nastavitvah blokado izklopimo se namestitev prenesene aplikacije izvede. Gre za skrito aplikacijo, ki ni vidna v seznamu aplikacij. Aplikacija zahteva pravice, ki omogočajo dostop do upravljanja z omrežnimi povezavami, grobe geolokacije in pisanja na zunanje pomnilne naprave. V kodi mobilne aplikacije je bil najden tudi spletni naslov, iz katerega se izvrši prenos konfiguracijske datoteke aplikacije (v JSON obliki) v kateri so (med drugim) navedeni razni parametri. Po namestitvi aplikacije in vzpostavitvi povezave z omrežjem, se na telefonu prične prenos in prikazovanje reklamnih sporočil; ta se prikazujejo v intervalu 40 sekund. Za tem se v telefon namesti še ena datoteka, katere naloga zaenkrat še ni znana,” so zapisali na SI-CERT-u.

Ukrepi

V primeru, da prejmete opisano SMS sporočilo in sledite povezavi, v primeru zahteve po prenosu .apk to zavrnite. Če do prenosa pride, datoteke ne odpirajte. Če do namestitve aplikacije vseeno pride, svetujemo, da pomembne podatke na telefonu shranite na zunanjo napravo in izvedete ponastavitev mobilne naprave na tovarniške nastavitve.