Wczoraj odkryty został przeze mnie fałszywy instalator Gadu Gadu 10. Po sprawnych ustaleniach z pomocą techniczną Gadu Gadu mam pewność, że trafiłem na oszustwo z wykorzystaniem najpopularniejszego w Polsce komunikatora.
Celem oszustów jest wyłudzanie pieniędzy. Instalator rzekomego GG wymaga wprowadzenia kodu, który można otrzymać po wysłaniu dwóch smsów na numer premium – mamy więc do czynienia z typowym phishingiem.
Instalator na pierwszy rzut oka wita nas poprawnie słoneczkiem Gadu Gadu – niestety, osoby znające aplikację od razu zauważą, że nie jest to ten sam instalator. Płynie stąd wniosek, że ofiarami mają być osoby zupełnie początkujące.
Instalator treścią nie budzi zastrzeżeń – napisany poprawnie i opatrzony logiem aplikacji, której się spodziewamy.
W kolejnym etapie:
Proponowany jest nam do instalacji automatyczny aktualizator – po bliższej analizie widać, że jest to szkodliwy program, który już teraz badany jest przez laboratoria AVG. Uruchamiany jest proces updater.exe, który tworzy dowiązanie autostartu w rejestrze Windows w kluczu:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunsw_updater.exeW kolejnym etapie zostajemy poproszeni o wysłanie smsa o treści MSG na numer 7668, którego koszt to 6zł netto, 7,32zł brutto.
Celem smsa jest niestety tylko i wyłącznie wyłudzenie od nas pieniędzy. W pierwszej wiadomości otrzymanej w odpowiedzi znajdziemy informację, że jeszcze tylko jeden sms dzieli nas od otrzymania naszego kodu.
„Pozostalo 1 SMS do zakończenia. Wyslij ponownie MSG na numer 7668. Cena 6PLN z VAT/7,32PLN”Po wysłaniu ponownego smsa otrzymujemy:
„Twój kod to: ######”Czyli sześciocyfrowy kod do instalacji Gadu Gadu 10.
Przeprowadziłem testy i ustaliłem, że kod otrzymywany smsem jest sprawdzany online. Proces instalatora łączy się z adresem IP 195.78.228.246:80. Pod tym adresem znajduje się strona zarejestrowana w Hiszpańskiej Sewilli
Jest to Panel Operatora firmy świadczącej usługi płatności smsem.
W przypadku prób wprowadzenia fałszywego kodu program wyświetla komunikat, że podany kod jest nieprawidłowy. Jeśli spróbujemy instalacji bez aktywnego połączenia z Internetem lub zablokujemy proces instalatora zaporą, to ujrzymy komunikat:
Tu już widać problemy z tłumaczeniem – brak polskich znaków, tylko jeden wyraz zawiera jakby przypadkowo wprowadzoną literkę „ó”.
Ewidentnie ktoś nie przyłożył się do tłumaczenia okienek komunikatów. Dlaczego do tłumaczenia?
Po wydobyciu plików źródłowych z instalatora znalazłem:
Ktoś odpowiedzialny za stworzenie polskiej wersji oszustwa nie przyłożył się do posprzątania po pierwowzorze.
W oryginale wyłudzane były pieniądze za instalację Windows Live Messenger w Hiszpanii, Chile, Argentynie i Ekwadorze – wnioskując z ikonek flag umieszczonych obok opisu procedury.
W stopce instalatora na etapie wprowadzenia kodu otrzymanego w odpowiedzi na dwa smsy widzimy adres strony www.libelasms.com – to zarejestrowany w Chile operator sieci komórkowej.
Po podaniu poprawnego kodu instalacyjnego w oknie fałszywego instalatora ten kończy pracę uruchamiając prawdziwy instalator komunikatora Gadu Gadu 10.
Oszustwo jest dość proste i szyte grubymi nićmi, niestety osoby niedoświadczone mogą paść jego ofiarą i stracić nieco ponad 14zł.
Zastanawiające są poprawne treści smsów otrzymywanych z numeru Premium oraz wymóg współpracy z polskimi operatorami sieci komórkowych.
Sprawa jest analizowana przy współpracy ze wsparciem technicznym komunikatora Gadu Gadu, które tak jak My przestrzega przed fałszywą wersją i przypomina, że:
Wspomniany wcześniej updater został przeanalizowany – dokładnie kilkanaście minut przed opublikowaniem tego wpisu otrzymałem wyniki. Jest zainfekowany nową odmianą Konia Trojańskiego Downloader.Generic.BLSS. Aktualizacja baz wirusów AVG została już przeprowadzona i nowa odmiana jest wykrywana przez bazę sygnatur w wersji 2.7.1.1/2780.
Wszystkie szczegóły znalezionego przeze mnie oszustwa zostały już przekazane do pomocy technicznej Gadu Gadu, aby również oni przestrzegli swoich użytkowników przed oszustami.
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Sprawdź dobry antywirus AVG Internet Security. Idealny jeżeli potrzebujesz profesjonalnej ochrony domowego komputera.
Podobał Ci się ten artykuł?
Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!
Encyklopedia Bezpieczeństwa
[…] przypadek namierzonego przeze mnie fałszywego instalatora Gadu Gadu 10, o którym szerzej w tym wpisie na blogu okazał się dopiero początkiem większego przekrętu wykraczającego poza […]