Zhackowali appkę, która kradła dane kart płatniczych. Dali alert dla potencjalnych ofiar.

Scammerzy przygotowali dość prostą appkę androidową, która pod pozorem super nagrody w postaci punktów lojalnościowych do pewnego programu, zbierała dane kart płatniczych.

Hackerzy najpierw zdekompilowali appkę, gdzie widać w którym miejscu znajduje się API, z którym komunikuje się appka. Widzicie /api/signup.php ?

Ten signup w sumie niewiele dawał, ale skłonił badaczy do zbadania innych ciekawych, ukrytych zasobów na serwerze. Np. panel administracyjny dla scammerów znajdował się w bardzo ukrytej ścieżce: /admin/

Czy pasowało admin/admin ? Nie, ale można było użyć najprostszego na świecie wstrzyknięcia SQL injection w postaci: ’ or '1’=’1

Otrzymując nim dostęp do zalogowanego panelu admina, a następnie przeglądać dane oscamowanych:

Na koniec hackerzy podmienili w panelu administracyjnym komunikat, który wyświetlany jest użytkownikom odpalającym scamową appkę:

~ms