Od niegroźnych aplikacji „inwestycyjnych” w Google Play do złośliwych powiadomień

10 godzin temu

Google Play i fałszywe aplikacje? Mimo, iż mobilny gigant dba o czystość swojego sklepu, oszustom czasami udaje się przemycić do niego pozornie niegroźne treści. A co zrobić, by wykorzystać je przeciwko internautom? Kluczem okazują się… powiadomienia push! W ostatnim czasie CERT Orange Polska zauważył wzmożoną aktywność cyberprzestępców, wykorzystujących ten sposób do kampanii na fałszywe inwestycje.

Najnowszy trend wykorzystywany przez sieciowych oszustów to kolportowanie pozornie niezłośliwych aplikacji przy użyciu popularnych platform reklamowych. CERT Orange Polska obserwuje w ostatnim czasie serię podobnych do siebie ataków. Przestępcy wykorzystując platformę reklamową UnityAds rozpowszechniają w sklepie Google Play fałszywe aplikacje inwestycyjne podszywające m.in. się pod markę Orlen.

Na początku – reklama

UnityAds to jedna z największych platform reklamowych dla aplikacji mobilnych, należąca do Unity Technologies. System ten pozwala twórcom gier i aplikacji na monetyzację swoich produktów poprzez wyświetlanie reklam. Dla reklamodawców natomiast to sposób na dotarcie do szerokiej grupy użytkowników urządzeń mobilnych.

Platforma oferuje różne formaty reklamowe, w tym:

  • wideo z nagrodami
  • banery
  • treści pełnoekranowe
  • reklamy typu playable

Okazuje się jednak, iż popularność i zasięg mogą też działać przeciwko platformie. Dzięki swoim cechom stała się ona bowiem atrakcyjnym narzędziem również dla cyberprzestępców. Samo narzędzie nie ma z sieciowymi oszustami nic wspólnego – po prostu znaleźli sposób, by wykorzystać je do swoich celów.

Modus operandi – z reklamy do sklepu Google Play

Pierwszy etap to dystrybucja mobilnej aplikacji przy użyciu UnityAds. Przestępcy wyświetlają przy użyciu platformy reklamy, promujące aplikacje „inwestycyjne”. Treści przygotowane przez oszustów są zaprojektowane zgodnie z zasadami socjotechniki. W roli atrakcyjnej przynęty wykorzystują szeroko rozpoznawalną markę Orlen.

Reklamy obiecują użytkownikom możliwość zarobienia dużych pieniędzy dzięki inwestycjom w węglowodory, wykorzystując przy tym zaufanie do marki polskiego giganta paliwowego. Dość często w niektórych z reklam oszuści wykorzystują wizerunki osób zaufania publicznego – polityków (np. prezydenta Karola Nawrockiego) bądź sportowców (głównie Roberta Lewandowskiego).

Kolejny krok to pozornie niewinne aplikacje. Użytkownicy są bowiem po kliknięciu w reklamę przekierowywani do oficjalnego sklepu Google Play! Na pierwszy rzut oka sytuacja nie wygląda więc groźnie. Oficjalny sklep marki i aplikacje wyglądające profesjonalnie i nie budzące podejrzeń. Choć to drugie to raczej na pozór – rzut okiem na niską liczbę pobrań i ocenę rzadko przekraczającą 2,0 dają wiele do myślenia.

Jak wyglądają fałszywe aplikacje, wykorzystywane w opisywanym scenariuszu? Co je łączy?

  • Podobny wygląd i funkcjonalność – wszystkie aplikacje są bardzo podobne do siebie
  • Minimalistyczny interfejs – oferują bardzo proste i ograniczone funkcje
  • Brak rejestracji – nie wymagają tworzenia konta użytkownika
  • Standardowe uprawnienia – nie żądają podejrzanych pozwoleń systemowych
  • Pozornie bezpieczne – na pierwszy rzut oka nie wykonują żadnych podejrzanych działań
  • Są dostępne w sklepie Google Play

Klucz to powiadomienia push

Do tej pory wszystko wygląda bez zarzutów. Po samej instalacji aplikacji nie dzieje się nic, a taka sytuacja może dodatkowo uśpić czujność ofiary. A to dlatego, iż prawdziwa natura opisywanych aplikacji ujawnia się dopiero po pewnym czasie od instalacji. Kluczowym elementem całego scenariusza są powiadomienia push.

Aplikacje de facto nie podejmują żadnych aktywności. Można za ich pośrednictwem zobaczyć kursy akcji, newsy finansowe, czy też panel użytkownika bez konieczności żadnych działań z naszej strony. Dlatego też mogły trafić do sklepu Google Play, bowiem nie są de facto złośliwe! Gdy nie otrzymujemy żadnych monitów związanych z finansami, łatwo stracić czujność. Dopiero po upływie sporego czasu (zazwyczaj następnego dnia) potencjalna ofiara otrzymuje powiadomienie push z aplikacji, podobne do pokazanych na poniższym zrzucie ekranu.

Pierwszych 10 inwestorów otrzyma 1000 dolarów do depozytu; Zarejestruj się już dziś i odbierz darmowy pakiet inwestycyjny; Zarejestruj się już teraz i odbierz swoje 25 akcji w prezencie.

Takie komunikaty brzmią kusząco, no i przecież to nic niestandardowego, iż aplikacje wysyłają powiadomienia push, prawda? choćby jeżeli niczego nie inwestowaliśmy, może nam się poszczęściło i faktycznie są dla nas pieniądze? Niestety, doświadczenie wskazuje, iż wielu internautów wciąż wierzy w tego typu „okazje”. Wracając jednak do pusha. Od standardowych powiadomień różni go to, iż klikając go nie trafiamy do aplikacji. Jesteśmy przekierowywani do zewnętrznej witryny internetowej pod adresem:

hxxps://mechovia[.]digital/[8-znakowy alfanumeryczny hash]

A tak pora na ostatni krok – wyłudzenie danych osobowych (i ew. w dalszym kroku próba namówienia na „zainwestowanie” prawdziwych pieniędzy). Wszystkie opisywane wcześniej aktywności to tak naprawdę przygotowanie do ostatecznego ataku. W jego trakcie użytkownik:

  • zostanie poproszony o wypełnienie krótkiej ankiety z nieistotnymi pytaniami (budowanie zaufania)
  • zobaczy „atrakcyjne” wyniki potencjalnych inwestycji (kolejny etap budowania zaufania + wizja dużych zarobków)
  • prawdopodobnie już na tym etapie poda swoje dane kontaktowe, tj.:
    • imię i nazwisko
    • numer telefonu
    • adres e-mail

Potem już oszustów czeka otwarta autostrada do naszego zaufania (i pieniędzy). Przestępcy wykorzystują przekazane dane kontaktowe do bezpośredniego kontaktu z ofiarami. Dalej wszystko dzieje się według schematu, który szczegółowo opisaliśmy w ubiegłorocznym materiale wideo. A jak konkretnie? To sprawdziliśmy osobiście.

Oszust do końca nie wyszedł z roli

Minęło zaledwie 10 minut od wypełnienia ankiety, gdy zadzwonił „menedżer konta” – nie trzeba więc czekać 48 godzin, jak oszuści zapowiadają na stronie. Rozmówca mimo wyraźnie wschodniego akcentu przedstawił się polskimi personaliami. Jakie były tematy rozmowy?

  • nasz wiek, plany inwestycyjne oraz wiedzę, dot. inwestowania (de facto ponawiając pytania z ankiety)
  • wyjaśnienie specyfiki działania „firmy inwestycyjnej” (do każdego klienta miał być przydzielony indywidualny doradca)
  • informacja o tym, iż z każdej inwestycji „firma” bierze 5% prowizji
  • uszczegółowienie walorów w które mają być inwestowane nasze środki („nie tylko Orlen, ale też gaz ziemny i ropa naftowa”)
  • podanie numeru klienta i numeru telefonu „do firmy” (zabrakło jednak… adresu strony, na której można by użyć numeru klienta)
  • dyskusja nt. kwoty pierwszej wpłaty (w naszym przypadku stanęło na 1000 złotych)
  • ustalenie banku, w którym posiadamy konto

Gdy podaliśmy nazwę banku, rozmówca stwierdził, iż „klienci korzystający z kont w tym banku wykonują do nas wpłaty za pośrednictwem BLIK-a” i usiłował przeprowadzić nas przez dokonanie płatności. Nadeszła więc pora na wyjaśnienie, co naprawdę jest celem naszej rozmowy i, iż wcale nie chodzi nam o inwestycję.

Ale dlaczego sądzisz, iż to oszustwo? Po prostu nigdy nie inwestowałeś, więc nie wiesz jak to wygląda! Pracowałeś kiedyś z indywidualnym doradcą? Na czym niby miałoby polegać to oszustwo? Przecież gdybym był oszustem to bym się rozłączył, a nie rozmawiał z Tobą dalej!

Faktycznie to, iż próbował rozmawiać dalej, było sporym zaskoczeniem. Jednak do argumentów czemu mam pewność, iż to oszustwo – nie odniósł się. Do pytania jak mają się polskie personalia do wschodniego akcentu – też nie. Do końca nie wyszedł z roli.

Jak poznać podejrzaną aplikację w Google Play?

Przede wszystkim pamiętaj, jeżeli coś wydaje się zbyt piękne, aby było prawdziwe, prawdopodobnie tak właśnie jest. A szczegółowo?

  • weryfikuj źródło – oficjalne aplikacje Orlen są dostępne wyłącznie przez oficjalne kanały
  • sprawdzaj deweloperów – zwracaj uwagę na nazwę wydawcy aplikacji w Google Play; zwykle wielkie firmy publikują aplikacje mobilne pod własną nazwą (np. Orange Polska)
  • do powiadomień z nowych/nieznanych aplikacji podchodź używając zasady ograniczonego zaufania
  • zastanów się dwa razy zanim gdziekolwiek podasz swoje dane osobowe
  • jeśli aplikacja wydaje Ci się podejrzana, zgłoś ją w Sklepie Play

Opisany scenariusz pokazuje, jak przestępcy wykorzystują zaufane platformy reklamowe (w tym przypadku UnityAds). Pamiętaj – jeżeli ktoś oferuje Ci opcję dużego zarobku w krótkim czasie – poważnie się zastanów, czy to nie oszustwo. jeżeli masz wątpliwości – napisz do nas, pomożemy.

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. Od niegroźnych aplikacji „inwestycyjnych” w Google Play do złośliwych powiadomień

Powiązane

Samsung rzuca wyzwanie Google. realizowane są testy przeglądarki Samsung Internet na PC

Samsung rzuca wyzwanie Google. realizowane są testy przegląd...

5 godzin temu
Z gminy wyciekły dane wrażliwe ponad 5 tysięcy osób. Wśród nich numery PESEL. Zawinił błąd urzędnika

Z gminy wyciekły dane wrażliwe ponad 5 tysięcy osób. Wśród n...

9 godzin temu
Pacjentki krakowskiego szpitala były potajemnie nagrywane. Jest wyrok sądu

Pacjentki krakowskiego szpitala były potajemnie nagrywane. J...

9 godzin temu
Wielki wyciek w gminie Wisznia Mała. Dane pięciu tysięcy osób w sieci

Wielki wyciek w gminie Wisznia Mała. Dane pięciu tysięcy osó...

12 godzin temu
Elektroniczny systemu wjazdu i wyjazdu ze strefy Schengen

Elektroniczny systemu wjazdu i wyjazdu ze strefy Schengen

12 godzin temu
Kiedy i komu trzeba podać PESEL? Niewielu Polaków ma tę wiedzę

Kiedy i komu trzeba podać PESEL? Niewielu Polaków ma tę wied...

1 dzień temu
Wyciek danych mieszkańców gminy Wisznia Mała. Informacje o 5 tysiącach osób trafiły do sieci

Wyciek danych mieszkańców gminy Wisznia Mała. Informacje o 5...

1 dzień temu
Najładniejsza Kartka Świąteczna – Konkurs Plastyczny

Najładniejsza Kartka Świąteczna – Konkurs Plastyczny

1 dzień temu