‘DHL’ el SMS de seguimiento envía malware a usuarios de Android en Alemania con servidor C & C en Japón

La próxima vez que reciba un SMS de los transportistas de carga DHL sobre la entrega / entrega inminente de un paquete o envío, tenga cuidado. En un informe publicado en el Blog de McAfee, los investigadores de seguridad han observado que los mensajes de texto cortos (SMS) enviados por DHL, que afirman ser una notificación de seguimiento de su paquete, en realidad entregan un malware malicioso de Android a su teléfono inteligente. Este spam SMS en particular solo se ha notado hasta ahora en Alemania.

Los lectores notarán que el uso de notificaciones de seguimiento como método de spam es tan antiguo como el propio correo electrónico, con la mayoría de los transportistas de renombre como RMS, DHL, FedEx o UPS siendo utilizados para usurpar el dinero de víctimas desprevenidas. Sin embargo, esta es la primera vez, señalan los investigadores, que se utiliza un SMS para distribuir malware en Android utilizando este método.

• *

Los investigadores de McAfee Labs han notado que esta tendencia actualmente está dirigida a usuarios en Alemania, donde reciben malware almacenado en el almacenamiento en la nube proporcionado por Dropbox. El archivo malicioso es un paquete de instalación con el nombre “DHL.apk” y se entrega a través de un enlace compartido que está enmascarado a través del servicio de acortamiento de URL de Google.

• *

Según McAfee, el SMS alemán dice “Ihr DHL Packung ist ihnen geliefert, verfolgen Sie online über,” seguido de la URL para la descarga maliciosa. Traducido, esto informa que el paquete de DHL ha sido entregado y se puede rastrear a través del enlace proporcionado. Esto proporciona un muy buen motivo para que las víctimas hagan clic en el enlace y descarguen el malware.

Después de la instalación, el malware hace lo que se supone que debe hacer un malware normal.

se supone que debe hacer. Toma el control del Marco de Servicio de Google, lo apaga y luego asume su lugar en la pantalla de inicio. En el primer lanzamiento, se le pide al usuario que le permita privilegios de administrador.

• *

Los investigadores de seguridad de McAfee han nombrado al malware como Android/SmsHnd.A. El malware, después de la instalación y obtener privilegios de usuario, inicia un servicio en segundo plano para establecer comunicación con el servidor de comando y control, desde donde recibe instrucciones sobre qué robar del dispositivo. Según los investigadores, puede,

• Filtrar información sensible del dispositivo (número de teléfono, modelo del dispositivo, IMEI e IMSI)

• Enviar mensajes SMS utilizando datos (número de teléfono y texto) proporcionados por el servidor remoto

• Enviar un mensaje de texto específico a todos los contactos del teléfono y SIM

• Robar la lista de contactos

• *

**

Además, los cibercriminales lo han diseñado para poder enviar mensajes de texto cortos con información (número de teléfono y texto) recibida del servidor de comando y control. También se puede utilizar para propagar aún más el malware enviándolo a los contactos de las víctimas en la agenda.

“Además de estas acciones, cada vez que se envía un mensaje SMS al dispositivo infectado (pero no desde ninguno de los números de la lista de contactos de la víctima), será interceptado y enviado a un servidor remoto,”

| | | |

| | Fuente de la imagen McAfee Blog | |

*Una razón para esto sería interceptar los códigos de autenticación de dos factores enviados a la víctima para iniciar sesión en cuentas bancarias en línea. Los investigadores de McAfee también han descubierto que el servidor remoto de Comando y Control está basado en algún lugar de Japón y se están llevando a cabo más investigaciones.