Utilizatori de terminale mobile din România au fost vizaţi, în perioada 22.04.2022 - 02.05.2022, de o campanie de infectare cu malware care se propaga prin intermediul unor mesaje-capcană venite pe telefon, a transmis Directoratul Naţional pentru Securitate Cibernetică (DNSC), explicând celor care au instalat din greşeală aplicaţia maliţioasă “Voicemail.apk” care sunt paşii care trebuie urmaţi pentru dezinstalarea acesteia. Specialiştii au avertizat că aplicaţia este una periculoasă, care poate face, printre altele, apeluri de voce fără ştirea utilizatorilor, permite execuţia de comenzi de sistem de la distanţă, poate afla detalii despre reţeaua wifi la care este conectat dispozitivul, poate afla locaţia exactă folosind GPS-ul dispozitivului, poate accesa lista de contacte din telefon şi are acces la aplicaţiile instalate pe terminalul mobil.
Directoratul Naţional pentru Securitate Cibernetică a realizat o analiză a aplicaţiei maliţioase “Voicemail.apk”, propagată prin mesaje-capcană trimise de atacatori utilizatorilor din România în perioada sărbătorilor de Paşte.
“În perioada 22.04.2022 - 02.05.2022, utilizatori de terminale mobile din România au fost vizaţi de o campanie de infectare cu malware care se propaga prin intermediul unor mesaje-capcană venite pe telefon. Aceste mesaje erau special concepute de atacatori pentru a determina potenţiala victimă să aceeseze link-ul prezent în mesaj. Textul corespondent era unul într-o limbă română cu greşeli evidente şi anunţa utilizatorul că are un mesaj vocal, iar pentru a-l asculta trebuie să acceseze link-ul.
Odată ce acel link era accesat de pe smartphone, dacă nu avea suspiciuni, utilizatorul descărca şi instala în terminalul mobil o aplicaţie de tip APK, pentru a putea asculta mesajul. În realitate, mesajul nu exista, acesta fiind doar un pretext afişat de atacatori pentru a convinge potenţiala victimă să execute acţiunea, mizându-se pe curiozitatea acestuia”, se arată în comunicatul Directoratului Naţional pentru Securitate Cibernetică.
Sursa citată a menţionat că link-urile furnizate prin astfel de mesaje aveau un mecanism de User-Agent fencing, fiind accesibile doar utilizatorilor de terminale mobile de tip Android, cu o versiune Android minim 7.0, mecanism implementat pentru a îngreuna analiza.
“Odată ce aplicaţia era descarcată şi accesată de pe un smartphone cu sistemul de operare Android, aceasta solicita dreptul de a se instala ca Serviciu. Aplicaţiile de tip Serviciu sunt considerate aplicaţii de sistem şi primesc permisiuni aproape totale asupra tuturor celorlalte aplicaţii instalate: https://developer.android.com/guide/components/services.
După acordarea privilegiilor şi drepturilor de serviciu, aplicaţia se şterge din lista aplicaţiilor şi rămâne activă în background, fiind practic imposibil de dezinstalat prin metodele clasice. Aceasta poate fi dezinstalată doar prin accesarea dispozitivului în modul debugging, prin utilitarul adb”, a mai transmis Directoratul Naţional pentru Securitate Cibernetică.
DNSC a menţionat că aplicaţia interoghează starea tuturor reţelelor active, are capacitatea de a accesa lista de contacte din telefon, are acces nemijlocit în aplicaţiile instalate pe terminalul mobil afectat şi poate modifica, accesa, efectua capturi de ecran şi poate crea canale de comunicare prin TCP/UDP.
De asemenea, aplicaţia poate citi toate mesajele de tip SMS stocate în dispozitiv, poate afla numărul de telefon al dispozitivului, seria terminalului mobil, dacă un apel este în desfăşurare, numărul de telefon al interlocutorului, poate trimite/recepţiona/edita/şterge mesaje sms/mms care vor fi invizibile pentru utilizatorul legitim.
DNSC a mai avertizat că aplicaţia poate efectua apeluri de tip voce fără ştirea utilizatorilor, iar această capabilitate poate fi folosită pentru interceptări ambientale.
Totodată, aplicaţia are un algoritm de generare de domenii pe următoarele TLD: .ua, .ru, .kz, .biz, .top, .pw, .shop, .net,.info, .br, .xyz si .cn, are cod care permite conexiuni bidirecţionale prin HTTP/S, poate crea canale de comunicaţie bidirecţionale, inclusiv prin deschiderea de porturi pe dispozitiv, atât TCP cât şi UDP şi are capabilitatea de a-şi instala propriul certificat root în telefon, permiţând astfel interceptarea comunicaţiei criptate.
Aplicaţia “Voicemail.apk”poate obţine informaţii despre celula la care este conectat dispozitivul, permite execuţia de comenzi de sistem de la distanţă, poate afla detalii despre reţeaua wifi la care este conectat dispozitivul, poate afla locaţia exactă folosind GPS-ul dispozitivului, poate citi cartela SIM şi are abilitatea de a încărca şi executa cod extern, probabil module suplimentare sau versiuni viitoare.
“Din analiza aplicaţiei am identificat capabilitatea de replicare autonomă, de tip viral, fără necesitatea unei campanii de tip spear-phishing clasică. Acest lucru este realizat prin capabilităţile de a afla numărul de telefon al interlocutorului unui apel voce, accesarea agendei telefonice, accesarea listei de mesaje de tip SMS/MMS, coroborate cu capabilitatea de a trimite/recepţiona/modifica/şterge mesaje de tip SMS/MMS.
În plus, în urma analizei codului aplicaţiei, am putut estima faptul că aceasta are capabilitatea de a trimite/şterge mesaje prin intermediul platformei de socializare Facebook, ceea ce face această platformă un posibil vector de răspândire, pe langă propagarea prin SMS/MMS”, a mai precizat Directoratul Naţional pentru Securitate Cibernetică.
Specialiştii DNSC a transmis cetăţenilor care au instalat din greşeală aplicaţia Voicemail.apk că nu este obligatoriu să revină la setările din fabrică ale terminalului mobil (factory reset), deşi ar fi indicat!
“Dacă nu doriţi să efectuaţi această resetare, puteţi urma tutorialul următor pentru a vă conecta la dispozitiv, folosind un sistem Linux: https://developer.android.com/studio/command-line/adb
Odată conectat la dispozitiv, executaţi următoarele comenzi:
1) Listarea dispozitivelor conectate
dnz@info:~# adb devices -l
List of devices attached
192.168.57.113:5555 device product:vbox86p model:Samsung_Galaxy_S10 device:vbox86p transport_id:1
2) Dezinstalarea aplicatiei com.iqiyi.i18n
dnz@info:~# adb uninstall com.iqiyi.i18n”, a mai afirmat Directoratul Naţional pentru Securitate Cibernetică.
Urmărește-ne și pe Google News
Articolul de mai sus este destinat exclusiv informării dumneavoastră personale. Dacă reprezentaţi o instituţie media sau o companie şi doriţi un acord pentru republicarea articolelor noastre, va rugăm să ne trimiteţi un mail pe adresa abonamente@news.ro.
