Dwie niebezpieczne aplikacje rozprzestrzeniły się w polskich jednostkach wojskowych. To najprawdopodobniej piramidy finansowe, ale co gorsze, obie zawierają szkodliwe oprogramowanie, które wykrada zdjęcia z telefonu ofiary.
Zaczęło się od aplikacji CoinPlex, którą poznałem dzięki znajomemu, chcącemu dowiedzieć się, czy inwestowanie przez nią jest bezpiecznie. Inwestowanie to miało polegać na wpłaceniu depozytu w stablecoinie USDT lub USDC, kliknięciu trzy razy dziennie przycisku w aplikacji i patrzeniu jak „bot AI” inkasuje pieniądze z rynku i wypłaca użytkownikowi 1,8% dziennego zwrotu. Zysk jest dodawany do konta i od całej kwoty naliczane jest kolejne 1,8%. I tak każdego kolejnego dnia.
Tu działa procent składany. Zainwestowany kapitał podwaja się po miesiącu z kawałkiem, a po 365 dniach z zainwestowanych 200 złotych robią się 134 tysiące złotych. 67 188% rocznego zwrotu. Do tego program wynagradza dodatkowo osoby rekrutujące nowych użytkowników.
Niewielki plus należy przyznać CoinPlexowi za to, że uczciwie przyznaje użytkownikom, że może nie być wieczny. Zastrzega, że na rynku kryptowalut mogą pojawić się zawirowania, na które nie będzie odporny. Z naszych informacji wynika, że polscy promotorzy aplikacji radzili użytkownikom dla bezpieczeństwa wypłacić swój wkład, gdy kapitał się podwoi. Tutaj w grę wchodzi jednak chciwość. Po odcięciu na wczesnym etapie dywidendy 200 zł, zarobisz po roku już nie 134 tys. zł tylko 67 tys. zł.
Do nieprawdopodobnie wysokiej stopy zwrotu dochodzi pełen zestaw znaków alarmowych: brak jasnych informacji o założycielu lub jakimkolwiek pracowniku CoinPlex, podawanie fałszywych informacji o współpracy z giełdami kryptowalut Kraken i Binance, kod wskazujący na chiński software house, brak występowania w sklepach z aplikacjami Google Play i Apple Store. Więcej szczegółów opisałem w tekście: “Wciągają w to całe rodziny”. Cudowna aplikacja okaże się piramidą finansową?”
Żołnierze inwestują
W naszym tekście o CoinPlexie pojawiła się informacja, że aplikacja rozprzestrzeniła się wśród pewnej grupy mundurowych. Po jego ukazaniu się zadzwonił do mnie zaniepokojony czytelnik. Według jego relacji bliźniaczo podobna do CoinPlexa aplikacja TS-Vertex obiecująca ogromne zyski dzięki “botowi AI”, stała się bardzo popularna wśród żołnierzy z województwa zachodniopomorskiego. Wspomnianą grupą mundurowych korzystających z CoinPlexa byli również żołnierze.
Już szybkie oględziny potwierdziły, że istnieje bardzo wiele wspólnych cech łączących obie aplikacje. Brak wiarygodnych informacji o spółce i ludziach stojących za TS-Vertex, rejestracja na firmę-krzak, 2% dziennych odsetek. Również tutaj można znacząco zwiększyć swoje zyski, rekrutując nowych użytkowników i tak samo jak CoinPlex TS-Vertex nie pojawia się w oficjalnych sklepach z aplikacjami.
Obie różnią się w jednej istotnej kwestii. TS-Vertex wymaga przejścia weryfikacji KYC. To znaczy, że żeby uczestniczyć w zarabianiu, użytkownik musi podać swoje wrażliwe dane i zdjęcia dokumentu potwierdzającego tożsamość (może to być prawo jazdy, dowód osobisty lub paszport). CoinPlex instalując się na telefonie znajomego, wysłał podczas instalacji prośbę o pobranie profilu użytkownika z jego iPhone’a.
Nasz czytelnik zwrócił uwagę na jedną rzecz. Polska jest celem hybrydowych ataków ze strony obcych państw, najczęściej Rosji. Stąd pojawiła się myśl: co jeśli TS-Vertex i CoinPlex to nie tylko piramidy finansowe? Obu aplikacji nie ma w oficjalnych sklepach z oprogramowaniem. W ich kodach może być zaszyte cokolwiek. W dodatku obie zainfekowały jednostki wojskowe w różnych miejscach Polski.
Zaczęliśmy szukać na zewnątrz eksperta, który sprawdzi obie aplikacje, jak okazało się znaleźliśmy go jednak w naszej firmie. Po wstępnej analizie oprogramowania, przeprowadzonej przez programistę Bankier.pl Andrzeja Buczyńskiego, okazało się, że nasze przypuszczenia się sprawdziły, oddajmy mu głos:
Programista o aplikacjach CoinPlex i TS-Vertex
“TS-Vertex został już nawet oznakowany przez Google jako zawierający szkodliwe oprogramowanie. Znaleziona przeze mnie wersja tej apki w internecie zawiera trojana roboczo nazwanego przez badaczy "sparkkitty". Jego działanie polega na wykradaniu wszystkich zdjęć z galerii użytkownika i przesyłaniu ich na serwery kontrolowane przez atakującego.
Przypadek CoinPlex jest nieco trudniejszy ze względu na jego relatywną nowość. Przykładowo na stronie “VirusTotal” jedynie 4 z 68 dostawców zgłosiło wykrycie w tej aplikacji złośliwego oprogramowania. Można jednak z dużą dozą pewności stwierdzić, że nie jest to false-positive, lecz realnie mamy do czynienia z nowym zagrożeniem. Wskazuje na to chociażby to, że kod aplikacji jest dodatkowo zaciemniony w celu utrudnienia jego analizy, a aplikacja łączy się z szemraną domeną h5.coinplex.org, która używa komercyjnych usług mających na celu ukrycie jej właściciela, a jedyny komentarz na jej temat jest napisany przez fake’owe konto założone specjalnie na tą okoliczność.
Aplikacja ta ma też certyfikat wystawiony na sklep obuwniczy w USA, co również wskazuje na jej niską wiarygodność. Myślę jednak, że najbardziej oczywistym symptomem jest to, że apka ta zbiera informacje o położeniu użytkownika, co w wypadku zwykłej piramidy finansowej jest zbędne, natomiast wielce niebezpieczne w kontekście pewnych grup użytkowników. Nie wiem jakie jeszcze szkodliwe zachowania wykonuje ta aplikacja, bo jej nie dekompilowałem, ale mogę zapewnić, że na samej lokalizacji się nie kończy i definitywnie nie jest to zachowanie, które zadowoliłoby jej potencjalnego użytkownika”
- W przypadku obu aplikacji mamy do czynienia ze złośliwym oprogramowaniem spark kitty. Oprogramowanie wykrada zdjęcia z telefonu ofiary i przekazuje je na przygotowane serwery (tak zwane C2) - potwierdziła Paulina Zywar z Zespołu Public Relations i Komunikacji Zewnętrznej NASK.
W telefonach pewnej liczby żołnierzy są więc wirusy. W najlepszym wypadku, osoba, która stoi za atakiem, nie interesuje się tym, jaki zawód wykonują użytkownicy zainfekowanych aplikacji i czy jest to bardzo ważna dla polskiego państwa grupa społeczna.
To, że obie aplikacje stały się popularne w podobnym czasie wśród żołnierzy w różnych jednostkach wojskowych, może być zwykłym zbiegiem okoliczności. W hermetycznych grupach nowinki rozprzestrzeniają się szybko. Czy warto jednak optymistycznie liczyć na to, że mamy do czynienia z “najlepszym wypadkiem”?
Bez paragrafu
Korzystanie z TS-Vertex i CoinPlex nie łamie wojskowego regulaminowi. Żołnierze mają prawo posiadać w swoich prywatnych telefonach dowolną aplikację i korzystać z niej w czasie wolnym od obowiązków. O więcej szczegółów związanych z zasadami używania urządzeń elektronicznych w jednostkach wojskowych zapytaliśmy Ministerstwo Obrony Narodowej.
- Telefony prywatne żołnierzy nie mogą być wykorzystywane do działalności służbowej. Istnieją regulacje dotyczące ochrony informacji niejawnych oraz służbowych, a także zakaz użytkowania prywatnych telefonów komórkowych w określonych strefach ochrony na terenie jednostek wojskowych - dowiedzieliśmy się od biura prasowego MON.
Resort podkreśla, że wartownicy mają obowiązek zdeponować prywatne urządzenia telefoniczne i elektryczne przed wyjściem na posterunki. Prywatnych telefonów nie wolno używać także żołnierzom uczestniczącym w konwoju. Nie rekomenduje się tego również w obszarze wykonywania działań na wschodniej granicy Polski.
Na pytanie, czy dla żołnierzy są prowadzone szkolenia w zakresie cyberbezpieczeństwa lub unikania oszustw inwestycyjnych, MON odpowiada nam, że Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) systematycznie wysyła komunikaty, raporty i ostrzeżenia do żołnierzy oraz pracowników resortu obrony narodowej, informując o aktualnych zagrożeniach w cyberprzestrzeni oraz podatnościach w systemach i oprogramowaniu.
- Ponadto, systematycznie odbywają się szkolenia, konferencje, warsztaty z różnych dziedzin dotyczących cyberbezpieczeństwa. Dodatkowo DKWOC utrzymuje platformę e-learningową, która wykorzystywana jest do podnoszenia świadomości przez żołnierzy oraz pracowników RON w zakresie cyberbezpieczeństwa - przekazał nam MON.
Przed opublikowaniem artykułu, zgłoszenie w sprawie obu aplikacji przekazaliśmy z odpowiednim wyprzedzeniem do CERT Polska oraz Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni.
