CERT Polska ostrzega. Oszuści podszywają się pod Booking

Według analizy CERT Polska kampania oszustów zaczyna się od wiadomości phishingowej, która kieruje użytkownika Androida na stronę udającą komunikat bezpieczeństwa Booking.com. Po kliknięciu przycisku aktualizacji ofiara pobierała plik com.pulsebookmanager.helper.apk.

Badacze zaznaczają, że nie była to zwykła fałszywa aplikacja. Program działał jako wieloetapowy dropper: uruchamiał natywną bibliotekę, odszyfrowywał następny pakiet APK, a później wydobywał jeszcze ukryty moduł. Dopiero na końcu startował właściwy RAT.

Z perspektywy ofiary cały proces wyglądał pozornie prosto, ale w tle składał się z kilku warstw. CERT Polska odtworzył ten łańcuch krok po kroku. Wiadomość phishingowa zachęcała do kliknięcia odnośnika. Użytkownik trafiał na fałszywą stronę aktualizacji Booking.com a następnie pobierał plik com.pulsebookmanager.helper.apk. Później

aplikacja instalowała kolejny pakiet, io.cifnzm.utility67pu, opisany jako Google Play Services. Drugi etap z kolei odszyfrowywał następny ukryty zasób i finalnie uruchamiał się zdalnie sterowany RAT.

Już sam manifest pierwszego APK wzbudzał podejrzenia. Aplikacja prosiła o uprawnienia do instalowania kolejnych pakietów, monitorowania ich stanu, szerokiego wglądu w oprogramowanie na urządzeniu i utrzymania działania po restarcie. Jak wskazuje analiza CERT Polska, taki zestaw nie pasował do narzędzia powiązanego z Booking.com.

Badacze zauważyli też, że fałszywy interfejs nie pełnił wyłącznie roli przynęty. Strona wyświetlana w WebView mogła jednocześnie zbierać informacje o urządzeniu i przesuwać użytkownika do następnego etapu infekcji. To odróżniało tę kampanię od prostych stron służących tylko do pobrania pliku.

Ostateczny moduł miał szeroki zestaw funkcji typowych dla złośliwego oprogramowania na Androida z klasą RAT. CERT Polska wskazał m.in. na strumieniowanie ekranu, keylogging, przechwytywanie SMS-ów, obsługę kamery, zdalne gesty, nakładki phishingowe i HTML injection.

Kod analizowanej próbki pokazywał też wykorzystanie usług ułatwień dostępu do sterowania urządzeniem. Malware potrafił przechwytywać dane logowania, reagować na zdarzenia klawiatury i obsługiwać ekrany związane z blokadą, PIN-em czy hasłem. Dodatkowo miał tunel SOCKS5, co wskazywało na możliwość przekazywania ruchu sieciowego.

CERT Polska opisał również architekturę komunikacji z serwerem C2. Finalny etap korzystał z dwóch kanałów WebSocket, oddzielając sterowanie od przesyłania większych porcji danych, takich jak telemetria czy obraz ekranu. Analiza wykazała też celowe osłabienie weryfikacji TLS.

Eksperci nie powiązali tej próbki z żadną znaną rodziną malware, dlatego nadali jej roboczą nazwę cifrat. Wzięła się ona z nazwy pakietu io.cifnzm.utility67pu oraz z funkcjonalności RAT-a. To ważne zastrzeżenie, bo materiał nie opisuje starego zagrożenia pod nową etykietą, lecz próbkę bez wiarygodnego przypisania.

Najważniejszy wniosek z publikacji jest prosty: widoczna dla użytkownika aplikacja udająca Booking Pulse była tylko punktem wejścia. Za nią stał rozbudowany mechanizm infekcji, który po kilku etapach dawał atakującym zdalną kontrolę nad urządzeniem, dostęp do danych i możliwość dalszych nadużyć.