Utilizatori de telefoane mobile din România, vizaţi de o campanie de infectare cu malware care se propaga prin intermediul unor mesaje-capcană

Utilizatori de terminale mobile din România au fost vizaţi de o campanie de infectare cu malware, în perioada 22 aprilie - 2 mai, care se propagă prin intermediul unor mesaje-capcană venite pe telefon, atrage atenţia Directoratul Naţional de Securitate Cibernetică (DNSC).

"Aceste mesaje erau special concepute de atacatori pentru a determina potenţiala victimă să aceeseze link-ul prezent în mesaj. Textul corespondent era unul într-o limbă română cu greşeli evidente şi anunţa utilizatorul că are un mesaj vocal, iar pentru a-l asculta trebuie să acceseze link-ul", se menţionează într-un comunicat transmis de DNSC.

Potrivit sursei citate odată ce acel link era accesat de pe smartphone, dacă nu avea suspiciuni, utilizatorul descărca şi instala în terminalul mobil o aplicaţie de tip APK, pentru a putea asculta mesajul. În realitate, mesajul nu exista, acesta fiind doar un pretext afişat de atacatori pentru a convinge potenţiala victimă să execute acţiunea, mizându-se pe curiozitatea acestuia.

"Link-urile furnizate prin astfel de mesaje aveau un mecanism de User-Agent fencing, fiind accesibile doar utilizatorilor de terminale mobile de tip Android, cu o versiune Android minim 7.0, mecanism implementat pentru a îngreuna analiza. Odată ce aplicaţia era descarcată şi accesată de pe un smartphone cu sistemul de operare Android, aceasta solicita dreptul de a se instala ca Serviciu. Aplicaţiile de tip Serviciu sunt considerate aplicaţii de sistem şi primesc permisiuni aproape totale asupra tuturor celorlalte aplicaţii instalate:

https://developer.android.com/guide/components/services", explică DNSC.

Conform sursei citate, după acordarea privilegiilor şi drepturilor de serviciu, aplicaţia se şterge din lista aplicaţiilor şi rămâne activă în background, fiind practic imposibil de dezinstalat prin metodele clasice. Ea poate fi dezinstalată doar prin accesarea dispozitivului în modul debugging, prin utilitarul adb.

De altfel, potrivit reprezentanţilor DNSC, din analiza aplicaţiei, a reieşit faptul că aceasta este construită pe o aplicaţie legitimă (IQIYI), fiind inclusiv semnată cu semnatura digitală a acesteia.

"Din analiza aplicaţiei am identificat capabilitatea de replicare autonomă, de tip viral, fără necesitatea unei campanii de tip spear-phishing clasică. Acest lucru este realizat prin capabilităţile de a afla numărul de telefon al interlocutorului unui apel voce, accesarea agendei telefonice, accesarea listei de mesaje de tip SMS/MMS, coroborate cu capabilitatea de a trimite/recepţiona/modifica/şterge mesaje de tip SMS/MMS.

În plus, în urma analizei codului aplicaţiei, am putut estima faptul că aceasta are capabilitatea de a trimite/şterge mesaje prin intermediul platformei de socializare Facebook, ceea ce face această platformă un posibil vector de răspândire, pe langă propagarea prin SMS/MMS", precizează DNSC.

Recomandările DNSC

Dacă aţi instalat aplicaţia Voicemail.apk din greşeală, nu este obligatoriu să reveniţi la setările din fabrică ale terminalului mobil (factory reset), deşi ar fi indicat! Dacă nu doriţi să efectuaţi această resetare, puteţi urma tutorialul următor pentru a vă conecta la dispozitiv, folosind un sistem Linux: https://developer.android.com/studio/command-line/adb ", menţionează reprezentanţii DNSC.

"