Utilizatori de terminale mobile din România au fost vizați de o campanie de infectare cu malware, care se propagă prin intermediul unor mesaje-capcană venite pe telefon, informează Directoratul Național de Securitate Cibernetică (DNSC).
"Aceste mesaje erau special concepute de atacatori pentru a determina potențiala victimă să acceseze link-ul prezent în mesaj. Textul corespondent era unul într-o limbă română cu greșeli evidente și anunța utilizatorul că are un mesaj vocal, iar pentru a-l asculta trebuie să acceseze link-ul. Odată ce acel link era accesat de pe smartphone, dacă nu avea suspiciuni, utilizatorul descărca și instala în terminalul mobil o aplicație de tip APK, pentru a putea asculta mesajul. În realitate, mesajul nu exista, acesta fiind doar un pretext afișat de atacatori pentru a convinge potențiala victimă să execute acțiunea, mizându-se pe curiozitatea acestuia", se menționează în comunicat.
28 noiembrie - Profit Financial.forum
Conform sursei citate, link-urile furnizate prin astfel de mesaje aveau un mecanism de User-Agent fencing, fiind accesibile doar utilizatorilor de terminale mobile de tip Android, cu o versiune Android minim 7.0, mecanism implementat pentru a îngreuna analiza, scrie Agerpres.
"Odată ce aplicația era descărcată și accesată de pe un smartphone cu sistemul de operare Android, aceasta solicită dreptul de a se instala ca Serviciu. Aplicațiile de tip Serviciu sunt considerate aplicații de sistem și primesc permisiuni aproape totale asupra tuturor celorlalte aplicații instalate: https://developer.android.com/guide/components/services. După acordarea privilegiilor și drepturilor de serviciu, aplicația se șterge din lista aplicațiilor și rămâne activă în background, fiind practic imposibil de dezinstalat prin metodele clasice. Aceasta poate fi dezinstalată doar prin accesarea dispozitivului în modul debugging, prin utilitarul adb", se mai precizează în comunicat.
Din analiza aplicației, reiese faptul că aceasta este construită pe o aplicație legitimă (IQIYI), fiind inclusiv semnată cu semnătura digitală a acesteia.
Reprezentanții DNSC susțin că, din analiza aplicației, s-a identificat capabilitatea de replicare autonomă, de tip viral, fără necesitatea unei campanii de tip spear-phishing clasică.
"Acest lucru este realizat prin capabilitățile de a afla numărul de telefon al interlocutorului unui apel voce, accesarea agendei telefonice, accesarea listei de mesaje de tip SMS/MMS, coroborate cu capabilitatea de a trimite/recepționa/modifica/șterge mesaje de tip SMS/MMS", se mai spune în comunicat.
În plus, în urma analizei codului aplicației, s-a putut estima faptul că aceasta are capabilitatea de a trimite/șterge mesaje prin intermediul platformei de socializare Facebook, ceea ce face această platformă un posibil vector de răspândire, pe lângă propagarea prin SMS/MMS.
