Le SMS de suivi ‘DHL’ envoie des logiciels malveillants aux utilisateurs Android en Allemagne avec un serveur C & C au Japon

La prochaine fois que vous recevrez un SMS des transporteurs de fret DHL concernant la livraison / livraison imminente d’un colis ou d’un paquet, soyez prudent. Dans un rapport publié sur le blog McAfee, des chercheurs en sécurité ont observé que les messages texte courts (SMS) envoyés par DHL, prétendant être une notification de suivi de votre colis, livrent en réalité un logiciel malveillant Android vicieux à votre smartphone. Ce spam SMS particulier a été remarqué uniquement en Allemagne jusqu’à présent.

Les lecteurs noteront que l’utilisation de notifications de suivi comme méthode de spam est aussi ancienne que l’email lui-même, avec presque tous les transporteurs réputés tels que RMS, DHL, FedEx ou UPS étant utilisés pour usurper l’argent des victimes sans méfiance. Cependant, c’est la première fois, notent les chercheurs, qu’un SMS est utilisé pour distribuer des logiciels malveillants sur Android en utilisant cette méthode.

• *

Les chercheurs de McAfee Labs ont remarqué que cette tendance cible actuellement les utilisateurs en Allemagne, où ils reçoivent des logiciels malveillants stockés dans le stockage cloud fourni par Dropbox. Le fichier malveillant est un package d’installation nommé “DHL.apk” et il est livré via un lien partagé masqué par le service de raccourcissement d’URL de Google.

• *

Selon McAfee, le SMS allemand se lit comme suit : “Ihr DHL Packung ist ihnen geliefert, verfolgen Sie online über,” suivi de l’URL vers le téléchargement malveillant. En français, cela informe que le colis DHL a été livré et qu’il peut être suivi via le lien fourni. Cela donne un très bon motif aux victimes de cliquer sur le lien et de télécharger le logiciel malveillant.

Après installation, le logiciel malveillant fait ce qu’un logiciel malveillant normal est

• censé faire. Il prend le contrôle du Google Service Framework, l’arrête et prend ensuite sa place sur l’écran d’accueil. Lors du premier lancement, l’utilisateur est invité à lui accorder des privilèges d’administrateur.*

• *

Les chercheurs en sécurité de McAfee ont nommé le malware Android/SmsHnd.A. Après installation et obtention des privilèges utilisateur, le logiciel malveillant initie un service en arrière-plan pour établir une communication avec le serveur de commande et de contrôle, d’où il reçoit des instructions sur ce qu’il doit voler de l’appareil. Selon les chercheurs, il peut,

• Fuir des informations sensibles sur l’appareil (numéro de téléphone, modèle de l’appareil, IMEI et IMSI)

• Envoyer des messages SMS en utilisant les données (numéro de téléphone et texte) fournies par le serveur distant

• Envoyer un message texte spécifique à tous les contacts du téléphone et de la SIM

• Voler la liste de contacts
  *

• *

De plus, les cybercriminels l’ont conçu pour pouvoir envoyer de courts messages texte avec des informations (numéro de téléphone et texte) reçues du serveur de commande et de contrôle. Il peut également être utilisé pour propager davantage le logiciel malveillant en l’envoyant aux contacts des victimes dans le carnet d’adresses.

“En plus de ces actions, chaque fois qu’un message SMS est envoyé à l’appareil infecté (mais pas depuis l’un des numéros de la liste de contacts de la victime), il sera intercepté et transféré à un serveur distant,”

| | | |

| | Source de l’image McAfee Blog | |

Une raison à cela serait d’intercepter les codes d’authentification à deux facteurs envoyés à la victime pour se connecter à des comptes bancaires en ligne. Les chercheurs de McAfee ont également découvert que le serveur de commande et de contrôle distant est basé quelque part au Japon et d’autres enquêtes sont en cours.