‚DHL‘-Tracking-SMS sendet Malware an Android-Nutzer in Deutschland mit C & C-Server in Japan

Seien Sie beim nächsten Mal vorsichtig, wenn Sie eine SMS von den Frachtunternehmen DHL über die Lieferung / bevorstehende Lieferung eines Pakets oder Päckchens erhalten. In einem Bericht, der auf dem McAfee Blog veröffentlicht wurde, haben Sicherheitsforscher beobachtet, dass kurze Textnachrichten (SMS), die von DHL gesendet werden und angeblich eine Sendungsverfolgungsbenachrichtigung für Ihr Paket sind, tatsächlich eine bösartige Android-Malware auf Ihr Smartphone liefern. Diese spezielle SMS-Spam wurde bisher nur in Deutschland festgestellt.

Leser werden feststellen, dass die Verwendung von Sendungsverfolgungsbenachrichtigungen als Spam-Methode so alt ist wie die E-Mail selbst, wobei die meisten seriösen Kuriere wie RMS, DHL, FedEx oder UPS verwendet werden, um ahnungslose Opfer um ihr Geld zu bringen. Dies ist jedoch das erste Mal, dass die Forscher feststellen, dass eine SMS verwendet wird, um Malware auf Android mit dieser Methode zu verbreiten.

• Forscher von McAfee Labs haben festgestellt, dass dieser Trend derzeit Nutzer in Deutschland anvisiert, wo sie Malware erhalten, die im Cloud-Speicher von Dropbox gespeichert ist. Die bösartige Datei ist ein Installationspaket mit dem Namen „DHL.apk“ und wird über einen geteilten Link geliefert, der über Googles URL-Verkürzungsdienst maskiert ist.

• Laut McAfee lautet die deutsche SMS „Ihr DHL Packung ist ihnen geliefert, verfolgen Sie online über“, gefolgt von der URL zum bösartigen Download. Übersetzt informiert dies, dass das DHL-Paket geliefert wurde und über den bereitgestellten Link verfolgt werden kann. Dies bietet ein sehr gutes Motiv für die Opfer, auf den Link zu klicken und die Malware herunterzuladen.

Nach der Installation macht die Malware das, was eine normale Malware

sollte. Sie übernimmt das Google Service Framework, schaltet es aus und nimmt dann dessen Platz auf dem Startbildschirm ein. Bei der ersten Ausführung wird der Benutzer aufgefordert, ihr Administratorrechte zu gewähren.

• Die Sicherheitsforscher von McAfee haben die Malware als Android/SmsHnd.A benannt. Die Malware initiiert nach der Installation und dem Erhalt von Benutzerprivilegien einen Hintergrunddienst, um die Kommunikation mit dem Command-and-Control-Server herzustellen, von dem sie Anweisungen erhält, was vom Gerät gestohlen werden soll. Laut den Forschern kann sie,

• sensible Geräteinformationen (Telefonnummer, Gerätemodell, IMEI und IMSI) ausspionieren
• SMS-Nachrichten mit Daten (Telefonnummer und Text), die vom Remote-Server bereitgestellt werden, senden
• eine bestimmte Textnachricht an alle Telefon- und SIM-Kontakte senden
• die Kontaktliste stehlen

• Darüber hinaus haben die Cyberkriminellen es so eingerichtet, dass sie kurze Textnachrichten mit Informationen (Telefonnummer und Text), die vom Command-and-Control-Server empfangen werden, senden kann. Sie kann auch verwendet werden, um die Malware weiter zu verbreiten, indem sie an die Kontakte der Opfer im Adressbuch gesendet wird.

„Neben diesen Aktionen wird jede SMS-Nachricht, die an das infizierte Gerät gesendet wird (aber nicht von einer der Nummern aus der Kontaktliste des Opfers), abgefangen und an einen Remote-Server weitergeleitet,“

| | | |

| | Bildquelle McAfee Blog | |

Ein Grund dafür könnte sein, die Zwei-Faktor-Authentifizierungscodes abzufangen, die dem Opfer gesendet werden, um sich in Online-Banking-Konten einzuloggen. Die McAfee-Forscher haben auch herausgefunden, dass der Remote-Command-and-Control-Server irgendwo in Japan basiert und weitere Ermittlungen im Gange sind.