Zamawiasz jedzenie z tej aplikacji? Uważaj, bo możesz zapłacić kilka razy więcej
Udostępnij

Zamawiasz jedzenie z tej aplikacji? Uważaj, bo możesz zapłacić kilka razy więcej

Dodano: 
Przestępcy podszywają się pod popularną aplikację do zamawiania jedzenia
Przestępcy podszywają się pod popularną aplikację do zamawiania jedzeniaŹródło:Shutterstock
Jeśli planujesz korzystać z usługi zamawiania jedzenia Bolt, to upewnij się, że nie jesteś w aplikacji oszustów.

Cert Oranga informuje o nowej akcji przestępczej podszywającej się pod popularną aplikację do zamawiania jedzenia Bolt. Na stronie łudząco przypominającej oryginalną (food-bolt.pl) można pobrać aplikację na telefon, dzięki której rzekomo będzie można zamawiać jedzenie z dostawą do domu.

Sama strona według Certu Orange wygląda wiarygodnie i nie budzi większych zastrzeżeń. Te pojawiają się, dopiero gdy przeanalizuje się niewidoczne na pierwszy rzut oka szczegóły.

Bolt na rosyjskich serwerach?

Strona znajduje się na rosyjskich serwerach, chociaż spółka Bolt pochodzi z Estonii. Do tego ma certyfikat SSL ważny jedynie 3 miesiące i korzysta z usług rosyjskiego giganta internetowego Yandex.

Strona przekierowuje do aplikacji na smartfony, do App Store i Google Play. Kliknięcie logo App Store nie spowoduje żadnej akcji, natomiast kliknięcie Google Play przeniesie do aplikacji, którą będzie można pobrać na telefon.

Aplikacja nie pobierze się jednak z oficjalnego sklepu Google Play, a bezpośrednio ze strony food-bolt.pl, która znajduje się na rosyjskim serwerze. Pobieranie aplikacji z innych miejsc niż oficjalny sklep jest najniebezpieczniejszą czynnością, jaką może wykonać użytkownik smartfona.

Czytaj też:
Uwaga na oszustów. Podszywają się pod KGP, piszą o sędzi Gersdorf

Cert Orange zbadał, że atak jest wyjątkowo nieudolny, bo aplikacja do pobrania z serwera była błędnie skompilowana i nie uruchamiała się. Udało się jednak dostać do jej „wnętrza” i sprawdzić, jakich zgód wymaga do działania. Znalazło się tam prawie wszystko od kontrolowania ekranu po czytanie SMS-ów. Dzięki tym pozwoleniom aplikacja może uzyskać hasło i login do bankowości intrnetowej, a następnie odczytywać SMS-y autoryzacyjneAplikacja skanuje także urządzenie ofiary w poszukiwaniu portfeli kryptowalutowych.

Po dwóch dniach od rozpoczęcia kampanii przestępcy podmienili wersję aplikacji na działającą. Okazało się, że jest to nowa wersja trojana Alien, która identyfikowana jest przez 11 z 63 silników antywirusowych.

W kodzie źródłowym aplikacji umieszczono także, po rosyjsku, wiadomości dla analityków, którzy chcieliby tam zajrzeć. To m.in:

Putin_przystojniak

Wezwij_Tsunami_na_amerykę

Uruchomić_koronawirusa

Zniszczyć_wszystkich_ludzi.

Czytaj też:
„Maile Dworczyka”. Według nowego raportu to Rosjanie kontrolowali operację

Opracował:
© ℗ Materiał chroniony prawem autorskim. Wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy tygodnika Wprost.
Regulamin i warunki licencjonowania materiałów prasowych.