techblog.avg.pl

Wczoraj odkryty został przeze mnie fałszywy instalator Gadu Gadu 10. Po sprawnych ustaleniach z pomocą techniczną Gadu Gadu mam pewność, że trafiłem na oszustwo z wykorzystaniem najpopularniejszego w Polsce komunikatora.

Celem oszustów jest wyłudzanie pieniędzy. Instalator rzekomego GG wymaga wprowadzenia kodu, który można otrzymać po wysłaniu dwóch smsów na numer premium – mamy więc do czynienia z typowym phishingiem.

Instalator na pierwszy rzut oka wita nas poprawnie słoneczkiem Gadu Gadu – niestety, osoby znające aplikację od razu zauważą, że nie jest to ten sam instalator. Płynie stąd wniosek, że ofiarami mają być osoby zupełnie początkujące.

Instalator treścią nie budzi zastrzeżeń – napisany poprawnie i opatrzony logiem aplikacji, której się spodziewamy.
W kolejnym etapie:

Proponowany jest nam do instalacji automatyczny aktualizator – po bliższej analizie widać, że jest to szkodliwy program, który już teraz badany jest przez laboratoria AVG. Uruchamiany jest proces updater.exe, który tworzy dowiązanie autostartu w rejestrze Windows w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sw_updater.exe

W kolejnym etapie zostajemy poproszeni o wysłanie smsa o treści MSG na numer 7668, którego koszt to 6zł netto, 7,32zł brutto.

Celem smsa jest niestety tylko i wyłącznie wyłudzenie od nas pieniędzy. W pierwszej wiadomości otrzymanej w odpowiedzi znajdziemy informację, że jeszcze tylko jeden sms dzieli nas od otrzymania naszego kodu.

„Pozostalo 1 SMS do zakończenia. Wyslij ponownie MSG na numer 7668. Cena 6PLN z VAT/7,32PLN”

Po wysłaniu ponownego smsa otrzymujemy:

„Twój kod to: ######”

Czyli sześciocyfrowy kod do instalacji Gadu Gadu 10.
Przeprowadziłem testy i ustaliłem, że kod otrzymywany smsem jest sprawdzany online. Proces instalatora łączy się z adresem IP 195.78.228.246:80. Pod tym adresem znajduje się strona zarejestrowana w Hiszpańskiej Sewilli

http://panelsms.com/clientes/index.php

Jest to Panel Operatora firmy  świadczącej usługi płatności smsem.
W przypadku prób wprowadzenia fałszywego kodu program wyświetla komunikat, że podany kod jest nieprawidłowy. Jeśli spróbujemy instalacji bez aktywnego połączenia z Internetem lub zablokujemy proces instalatora zaporą, to ujrzymy komunikat:

Tu już widać problemy z tłumaczeniem – brak polskich znaków, tylko jeden wyraz zawiera jakby przypadkowo wprowadzoną literkę „ó”.
Ewidentnie ktoś nie przyłożył się do tłumaczenia okienek komunikatów. Dlaczego do tłumaczenia?
Po wydobyciu plików źródłowych z instalatora znalazłem:

Ktoś odpowiedzialny za stworzenie polskiej wersji oszustwa nie przyłożył się do posprzątania po pierwowzorze.
W oryginale wyłudzane były pieniądze za instalację Windows Live Messenger w Hiszpanii, Chile, Argentynie i Ekwadorze – wnioskując z ikonek flag umieszczonych obok opisu procedury.
W stopce instalatora na etapie wprowadzenia kodu otrzymanego w odpowiedzi na dwa smsy widzimy adres strony www.libelasms.com – to zarejestrowany w Chile operator sieci komórkowej.
Po podaniu poprawnego kodu instalacyjnego w oknie fałszywego instalatora ten kończy pracę uruchamiając prawdziwy instalator komunikatora Gadu Gadu 10.

Oszustwo jest dość proste i szyte grubymi nićmi, niestety osoby niedoświadczone mogą paść jego ofiarą i stracić nieco ponad 14zł.

Zastanawiające są poprawne treści smsów otrzymywanych z numeru Premium oraz wymóg współpracy z polskimi operatorami sieci komórkowych.
Sprawa jest analizowana przy współpracy ze wsparciem technicznym komunikatora Gadu Gadu, które tak jak My przestrzega przed fałszywą wersją i przypomina, że:

„(…)My udostępniamy komunikator tylko i wyłącznie na stronie

http://komunikator.gadu-gadu.pl i za jego pobranie i używanie nie

pobieramy opłat.”

Kacper

Młodszy Specjalista Wsparcia Technicznego

Dział Obsługi Użytkowników

GG Network S.A.

Wspomniany wcześniej updater został przeanalizowany – dokładnie kilkanaście minut przed opublikowaniem tego wpisu otrzymałem wyniki. Jest zainfekowany nową odmianą Konia Trojańskiego Downloader.Generic.BLSS. Aktualizacja baz wirusów AVG została już przeprowadzona i nowa odmiana jest wykrywana przez bazę sygnatur w wersji 2.7.1.1/2780.

Wszystkie szczegóły znalezionego przeze mnie oszustwa zostały już przekazane do pomocy technicznej Gadu Gadu, aby również oni przestrzegli swoich użytkowników przed oszustami.

Tagi: Phishing

Ten wpis został opublikowany 31 marca 2010 o 11:27 i jest zapisany w kategorii Bezpieczeństwo. Możesz śledzić wszystkie odpowiedzi do tego wpisu poprzez kanał RSS 2.0 Możesz dodać odpowiedź lub trackback ze swojej strony.