Opisany wczoraj przypadek namierzonego przeze mnie fałszywego instalatora Gadu Gadu 10, o którym szerzej w tym wpisie na blogu okazał się dopiero początkiem większego przekrętu wykraczającego poza Polskę.
Przeprowadziłem analizę adresów IP i domen, dzięki której, odnalezionych zostało jeszcze kilkanaście stron internetowych ze spreparowanymi aplikacjami.
Idąc tropem oszustwa zacząłem śledzić adresy IP.
O ile nie udało mi się odnaleźć do tej pory strony źródłowej, z której fałszywe GG pochodzi to znalazłem wiele innych przypadków tego samego oszustwa.
Wyłudzenia dotyczą MS Internet Explorer8, Media Playera, OpenOffice, przeglądarek Firefox, Opera, Chrome, Safari, aplikacji WinRAR, międzynarodowych komunikatorów internetowych jak MSN, Skype, ICQ, Yahoo Messenger czy nawet gry sieciowej CounterStrike – te dotyczą zagranicznej próby oszustwa
Nas dotknęła próba wyłudzania pieniędzy z użyciem tego samego numeru premium 7668 na zakup licencji oprogramowania antywirusowego.
Fałszywe wersje to między innymi Kaspersky 9.0, Norton 2010, MS Security Essentials, Avira 9, Avast 4.8, ClamAV czy nawet nasze AVG 9.0.
Cała procedura instalacji wygląda identycznie jak w przypadku wspomnianego wcześniej fałszywego GG, zmieniła się tylko treść SMSa jaką trzeba wysłać – zamiast MSG tym razem AVA.
Powyżej widać dokładnie, że cały pakiet instalatora jest wciąż ten sam, zmienia się tylko tytuł okna i grafika widoczna w kreatorze instalacji.
Program działa dokładnie tak samo jak opisałem w temacie fałszywego Gadu Gadu 10 – dwa smsy za 7,32zł brutto dają kod do instalacji programu. Podrobiony instalator po podaniu poprawnego, sprawdzanego online kodu, uruchamia prawdziwy instalator wybranego programu zawarty w spreparowanym pakiecie instalacyjnym. Jak wcześniej wraz z programem instaluje się ten sam updater.exe będący zainfekowany trojanem Downloader.Generic.BLSS.
Oszuści starali się bardzo wiarygodnie przygotowywać swoje pliki i na przykład zachowana jest oryginalna forma nazewnictwa pakietów instalacyjnych:
Pierwszym niedociągnięciem jest zachowanie domyślnych ikon archiwum samorozpakowującego WinRAR zamiast zastosowania wiarygodnych ikon konkretnych aplikacji.
Drugi problem to brak podpisów cyfrowych aplikacji potwierdzających ich wiarygodność:
Poniżej jeszcze jeden zrzut ekranu z widokiem kilku innych aplikacji, które padły ofiarami oszustów:
Jak szukałem?
Pierwszą drogą był adres IP, na którym GG10 potwierdzało poprawność kodu otrzymanego SMSem. Dalej używając narzędzi sieciowych oraz do zarządzania domenami trafiłem na adresy powiązane.
Jeden z tych adresów prowadził do strony w języku polskim oferującej oprogramowanie antywirusowe:
Na pierwszy rzut oka strona wygląda bardzo nieczytelnie, a to za sprawą błędu w ustawieniu kodowania znaków przez oszustów:
<html xmlns="//www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
Po ustawieniu w przeglądarce kodowania UTF-8 strona będzie wyglądała poprawnie.
Problem kodowania znaków wystąpił tylko na przeglądarce Mozilli Firefox 3.6.2, w pozostałych przeglądarkach stronie nie budzi zastrzeżeń już od pierwszego wejścia na stronę.
Na fałszywej stronie możemy poczytać porównanie programów, opinie, poznać zalety i wady programów, a na koniec pobrać sobie instalator wersji testowej, które widać na zrzucie ekranu wyżej.
O ile Polska strona na temat antywirusów wygląda przeciętnie i ma problemy z kodowaniem znaków to kolejne strony wyglądają już naprawdę nieźle i rzec można, że wiarygodnie ale o nich za chwilę.
Skoro znalazłem polską stronę z oszustwem to z użyciem polecenia nslookup zdobyłem kolejny adres IP – 195.78.228.156. Wykorzystując technikę Reverse IP domain lookup odnalazłem kolejne domeny odwołujące się do serwera pod tym samym adresem i tym sposobem trafiłem na następującą listę stron z fałszywym oprogramowaniem:
Pórwnanie Bezplatnych Programów Antywirusowych (PL – Antywirusy)
Messengers (komunikatory)
Download WinRAR (WinRAR)
Télécharger Windows Media Player 11 (Media Player 11)
Windows Internet Explorer 8 (ESP)
Windows Internet Explorer 8 (EN)
MSN Messenger – Telecharger Windows Live Messenger 2009 – Windows Live (komunikator MSN)
OpenOffice Gratuit (OpenOffice)
AntiVirus Gratis Comparativa (Antywirusy po hiszpańsku)
Comparatif navigateurs (przeglądarki)
Żadna z powyższych stron nie zawiera prawdziwego oprogramowania!
Wszystkie strony są zarejestrowane przez rejestratora domen z Chile. Na te same dane zarejestrowane jest aktualnie 135 aktywnych domen! Wynika z tego, że oszustwo ma ogromną skalę. Do jednego adresu IP podłączonych jest 19 witryn – doszukując się głębiej kolejnych adresów IP powinniśmy być w stanie ustalić kompletną listę oszukańczych witryn z aplikacjami. Serwery na jakich znajdują się strony internetowe korzystają z adresów IP zarejestrowanych w Hiszpanii.
Nie potrafię ocenić ile osób mogło paść ofiarą strony z fałszywymi antywirusami. Mogę natomiast powiedzieć, że do tej pory zgłoszone zosały dwa przypadki instalacji AVG z użyciem fałszywego instalatora.
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG PC TuneUP – program do czyszczenia komputera. Uporządkuj pliki i pozbądź się zalegających śmieci na Twoim komputerze.
Sam kiedyś pobrałem taki instalator. (4-6 miesięcy temu) Zgłaszałem reklamy z wyszukiwarki Google na ich stronie do zgłaszania nieuczciwych reklam, ale nic z tego nie wynikło. Z tego co widzę proceder dalej kwitnie.
Polecam zgłosić raporty do Kaspersky, NOD, Norton – firmy zajmują większość rynku rozwiązań AV dodanie serwerów na blacklisty będzie odczuwalne, dodatkowo pliki trafiają do bazy virusów.
Sprawdzone, moje zgłoszenia jak dotychczas były uwzględnione w aktualizacjach sygnatur w ciągu max 48 godzin.
[…] [ź] techblog.avg.pl […]
Trzeba zainteresować sprawą producentów
Sam kiedyś pobrałem taki instalator. (4-6 miesięcy temu) Zgłaszałem reklamy z wyszukiwarki Google na ich stronie do zgłaszania nieuczciwych reklam, ale nic z tego nie wynikło. Z tego co widzę proceder dalej kwitnie.
Polecam zgłosić raporty do Kaspersky, NOD, Norton – firmy zajmują większość rynku rozwiązań AV dodanie serwerów na blacklisty będzie odczuwalne, dodatkowo pliki trafiają do bazy virusów.Sprawdzone, moje zgłoszenia jak dotychczas były uwzględnione w aktualizacjach sygnatur w ciągu max 48 godzin.