Serwer mBankowego wirusa stoi na biznes-host.pl
Jakiś czas temu dostałem trochę niedorobiony spam:
Pod wspomnianym adresem ujrzałem pięknie podrobioną stronę logowania mBanku, oczywiście bez certyfikatu.
Czasem mi się nudzi... Wypełniłem ten formularz bzdurnymi wartościami kilka tysięcy razy ;) ale końcu uruchomiły się jakieś funckje ochrony przed DDoS... Równolegle zgłosiłem tę stronę jako phishing do MS i G. Napisałem też maila do firmy hostingowej, ale nie dostałem żadnej odpowiedzi. Nie wiem, które (czy którekolwiek) z tych działań przyczyniło się do tego, ale kiedy parę dni później zajrzałem na stronę ponownie, okazało się, że index.html został usunięty i moim oczom ukazało się to:
Jeden z katalogów to owa spamowa domena. Ale co to jest to drugie? Po kliknięciu znalazłem się na stronie tłumaczącej konieczność pobrania certyfikatu mBanku na telefon wraz z obrazkowym instruktażem, jak po kolei przechodzić wszystkie ostrzeżenia Androida, że właśnie popełniasz samobójstwo. Wyskakuje okienko pobierania pliku apk. Niestety tym razem nie będzie screena. Ta strona również została już zdjęta, a nie porobiłem screenów zawczasu. Nie spodziewałem się, że będę z tym leciał na wykop :P
Jako, że wścibski jestem, pobrałem apkę i zdekompilowałem sympatycznym, acz niedorobionym narzędziem (uwaga: audycja zawieralokowanie produktu) Smali2Java
Już pobieżna analiza kodu pozwala dostrzec, jakimi zadaniami się ta aplikacja zajmuje... Przechwytywanie SMS-ów, historii przeglądania, robienie zdjęcia użytkownikowi frontową kamerą... Łatwo też znaleźć plik konfiguracyjny, który zawiera adres IP i numer portu, na który aplikacja wysyła te wszystkie dane. Są to...
91.239.67.186 i jakże hakierski port 1337.
Do kogo należy ten adres? Zapytałem moje ulubione narzędzie w takich sytuacjach: (uwaga: audycja zawierała lokowanie produktu) GWhois
biznes-host.pl? No to piszemy maila:
Odpowiedź przyszła dość szybko, ale...
Wydawało mi się, że cały czas rozmawiam z jednym konsultantem (z litości zamazałem dane, bo to tylko pracownik), ale jak zajrzałem pod adres doczepiany do każdego maila, to się okazało, że ta niepodpisana wiadomość była od prezesa firmy (nie zamazuję danych):
Zobacz wpis w KRS
Czyli to nieważne, że właśnie kradzione są SMS-y, a może i pieniądze. Nawet nie podejmiemy próby weryfikacji zarzutów. Niech to sobie idzie drogą formalną, może za miesiąc ktoś wezwie jako świadka, to wtedy będziemy się martwić.
Jeżeli brat twój zgrzeszył, idź i upomnij go w cztery oczy.
Gdy cię usłucha, pozyskałeś swego brata.
Jeżeli cię nie usłucha: weź ze sobą jeszcze jedną lub dwie osoby,
żeby na podstawie zeznania dwóch lub trzech świadków cała sprawa została rozstrzygnięta.
Jeżeli ich także nie chce usłuchać: powiedz to Wykopowi.
A jeśli nawet Wykopu usłuchać nie chce, Niech będzie ci jako PO-wiec i PiS-owiec.
(Mi 18, 15-17)
Pod wspomnianym adresem ujrzałem pięknie podrobioną stronę logowania mBanku, oczywiście bez certyfikatu.
Czasem mi się nudzi... Wypełniłem ten formularz bzdurnymi wartościami kilka tysięcy razy ;) ale końcu uruchomiły się jakieś funckje ochrony przed DDoS... Równolegle zgłosiłem tę stronę jako phishing do MS i G. Napisałem też maila do firmy hostingowej, ale nie dostałem żadnej odpowiedzi. Nie wiem, które (czy którekolwiek) z tych działań przyczyniło się do tego, ale kiedy parę dni później zajrzałem na stronę ponownie, okazało się, że index.html został usunięty i moim oczom ukazało się to:
Jeden z katalogów to owa spamowa domena. Ale co to jest to drugie? Po kliknięciu znalazłem się na stronie tłumaczącej konieczność pobrania certyfikatu mBanku na telefon wraz z obrazkowym instruktażem, jak po kolei przechodzić wszystkie ostrzeżenia Androida, że właśnie popełniasz samobójstwo. Wyskakuje okienko pobierania pliku apk. Niestety tym razem nie będzie screena. Ta strona również została już zdjęta, a nie porobiłem screenów zawczasu. Nie spodziewałem się, że będę z tym leciał na wykop :P
Jako, że wścibski jestem, pobrałem apkę i zdekompilowałem sympatycznym, acz niedorobionym narzędziem (uwaga: audycja zawieralokowanie produktu) Smali2Java
Już pobieżna analiza kodu pozwala dostrzec, jakimi zadaniami się ta aplikacja zajmuje... Przechwytywanie SMS-ów, historii przeglądania, robienie zdjęcia użytkownikowi frontową kamerą... Łatwo też znaleźć plik konfiguracyjny, który zawiera adres IP i numer portu, na który aplikacja wysyła te wszystkie dane. Są to...
91.239.67.186 i jakże hakierski port 1337.
Do kogo należy ten adres? Zapytałem moje ulubione narzędzie w takich sytuacjach: (uwaga: audycja zawierała lokowanie produktu) GWhois
biznes-host.pl? No to piszemy maila:
Odpowiedź przyszła dość szybko, ale...
Wydawało mi się, że cały czas rozmawiam z jednym konsultantem (z litości zamazałem dane, bo to tylko pracownik), ale jak zajrzałem pod adres doczepiany do każdego maila, to się okazało, że ta niepodpisana wiadomość była od prezesa firmy (nie zamazuję danych):
Zobacz wpis w KRS
Czyli to nieważne, że właśnie kradzione są SMS-y, a może i pieniądze. Nawet nie podejmiemy próby weryfikacji zarzutów. Niech to sobie idzie drogą formalną, może za miesiąc ktoś wezwie jako świadka, to wtedy będziemy się martwić.
Jeżeli brat twój zgrzeszył, idź i upomnij go w cztery oczy.
Gdy cię usłucha, pozyskałeś swego brata.
Jeżeli cię nie usłucha: weź ze sobą jeszcze jedną lub dwie osoby,
żeby na podstawie zeznania dwóch lub trzech świadków cała sprawa została rozstrzygnięta.
Jeżeli ich także nie chce usłuchać: powiedz to Wykopowi.
A jeśli nawet Wykopu usłuchać nie chce, Niech będzie ci jako PO-wiec i PiS-owiec.
(Mi 18, 15-17)