DNSC: Utilizatori de terminale mobile din România au fost vizați de o campanie de infectare cu malware
Telex » Știri 5 mai 2022
Utilizatori de terminale mobile din România au fost vizați de o campanie de infectare cu malware, în perioada 22 aprilie - 2 mai, care se propagă prin intermediul unor mesaje-capcană venite pe telefon, informează Directoratul Național de Securitate Cibernetică (DNSC), citat de Agerpres. „Aceste mesaje erau special concepute de atacatori pentru a determina potențiala victimă să acceseze link-ul prezent în mesaj. Textul corespondent era unul într-o limbă română cu greșeli evidente și anunța utilizatorul că are un mesaj vocal, iar pentru a-l asculta trebuie să acceseze link-ul. Odată ce acel link era accesat de pe smartphone, dacă nu avea suspiciuni, utilizatorul descărca și instala în terminalul mobil o aplicație de tip APK, pentru a putea asculta mesajul. În realitate, mesajul nu exista, acesta fiind doar un pretext afișat de atacatori pentru a convinge potențiala victimă să execute acțiunea, mizându-se pe curiozitatea acestuia”, se menționează în comunicat.
Conform sursei citate, link-urile furnizate prin astfel de mesaje aveau un mecanism de User-Agent fencing, fiind accesibile doar utilizatorilor de terminale mobile de tip Android, cu o versiune Android minimum 7.0, mecanism implementat pentru a îngreuna analiza. „Odată ce aplicația era descărcată și accesată de pe un smartphone cu sistemul de operare Android, aceasta solicită dreptul de a se instala ca Serviciu. Aplicațiile de tip Serviciu sunt considerate aplicații de sistem și primesc permisiuni aproape totale asupra tuturor celorlalte aplicații instalate: https://developer.android.com/guide/components/services. După acordarea privilegiilor și drepturilor de serviciu, aplicația se șterge din lista aplicațiilor și rămâne activă în background, fiind practic imposibil de dezinstalat prin metodele clasice. Aceasta poate fi dezinstalată doar prin accesarea dispozitivului în modul debugging, prin utilitarul adb”, se mai precizează în comunicat.
Din analiza aplicației, reiese faptul că aceasta este construită pe o aplicație legitimă (IQIYI), fiind inclusiv semnată cu semnătura digitală a acesteia.
Reprezentanții DNSC susțin că, din analiza aplicației, s-a identificat capabilitatea de replicare autonomă, de tip viral, fără necesitatea unei campanii de tip spear-phishing clasică. „Acest lucru este realizat prin capabilitățile de a afla numărul de telefon al interlocutorului unui apel voce, accesarea agendei telefonice, accesarea listei de mesaje de tip SMS/MMS, coroborate cu capabilitatea de a trimite/recepționa/modifica/șterge mesaje de tip SMS/MMS”, se mai spune în comunicat.
În plus, în urma analizei codului aplicației, s-a putut estima faptul că aceasta are capabilitatea de a trimite/șterge mesaje prin intermediul platformei de socializare Facebook, ceea ce face această platformă un posibil vector de răspândire, pe lângă propagarea prin SMS/MMS.
(Copyright foto: 123RF Stock Photo)
Legătura dintre știință și artă – via învățământ | Aula Magna a Politehnicii, gazdă a spectacolelor de teatru
La Palatul Bragadiru, manifestări cultural-artistice pentru toate vârstele și profesiile
Festivalul Internațional Meridian, la cotele performanțelor artistice contemporane
Performanțe în conservarea și valorificarea patrimoniului cultural imaterial
Pe „partitura” timpului: 160 de ani de învățământ superior muzical românesc
O nouă „punte” de comunicare publică: digitalizarea patrimoniului național
Teatrul pentru tineri, de la vocația națională la reputația internațională
Premii pentru conservarea și valorificarea „perlelor” patrimoniului cultural național