‘DHL’ tracking SMS invia malware agli utenti Android in Germania con server C & C in Giappone

La prossima volta che ricevi un SMS dai corrieri DHL riguardo a una consegna / consegna imminente di un pacco o di un pacchetto, fai attenzione. In un rapporto pubblicato sul McAfee Blog, i ricercatori della sicurezza hanno osservato che i messaggi di testo brevi (SMS) inviati da DHL, che affermano di essere una notifica di tracciamento del tuo pacco, in realtà consegnano un malware Android dannoso al tuo smartphone. Questo particolare spam SMS è stato notato finora solo in Germania.

I lettori noteranno che l’uso della notifica di tracciamento come metodo di spam è vecchio quanto l’email stessa, con la maggior parte dei corrieri rispettabili come RMS, DHL, FedEx o UPS utilizzati per usurpare il denaro delle vittime ignare. Tuttavia, questa è la prima volta, notano i ricercatori, che un SMS viene utilizzato per distribuire malware su Android utilizzando questo metodo.

• *

I ricercatori di McAfee Labs hanno notato che questa tendenza sta attualmente prendendo di mira gli utenti in Germania, dove ricevono malware memorizzato nel cloud fornito da Dropbox. Il file dannoso è un pacchetto di installazione con il nome “DHL.apk” ed è consegnato tramite un link condiviso mascherato tramite il servizio di accorciamento URL di Google.

• *

Secondo McAfee, l’SMS tedesco recita “Ihr DHL Packung ist ihnen geliefert, verfolgen Sie online über,” seguito dall’URL per il download dannoso. Tradotto, questo informa che il pacco DHL è stato consegnato e può essere tracciato tramite il link fornito. Questo fornisce un ottimo motivo per le vittime di cliccare sul link e scaricare il malware.

Dopo l’installazione, il malware fa ciò che un normale malware è

supposto fare. Prende il controllo del Google Service Framework, lo spegne e poi assume il suo posto sulla schermata principale. Al primo avvio, all’utente viene chiesto di concedergli privilegi di amministratore.

• *

I ricercatori di sicurezza di McAfee hanno nominato il malware come Android/SmsHnd.A. Il malware, dopo l’installazione e l’ottenimento dei privilegi dell’utente, avvia un servizio in background per stabilire comunicazione con il server di comando e controllo, da dove riceve istruzioni su cosa rubare dal dispositivo. Secondo i ricercatori, può,

• Fugare informazioni sensibili del dispositivo (numero di telefono, modello del dispositivo, IMEI e IMSI)

• Inviare messaggi SMS utilizzando i dati (numero di telefono e testo) forniti dal server remoto

• Inviare un messaggio di testo specifico a tutti i contatti del telefono e della SIM

• Rubare la rubrica dei contatti

• *

**

Inoltre, i criminali informatici lo hanno progettato in modo da poter inviare brevi messaggi di testo con informazioni (numero di telefono e testo) ricevute dal server di comando e controllo. Può anche essere utilizzato per diffondere ulteriormente il malware inviandolo ai contatti delle vittime nella rubrica.

“In aggiunta a queste azioni, ogni volta che un messaggio SMS viene inviato al dispositivo infetto (ma non da nessuno dei numeri della rubrica della vittima), verrà intercettato e inoltrato a un server remoto,”

| | | |

| | Fonte immagine McAfee Blog | |

Una ragione per questo sarebbe quella di intercettare i codici di autenticazione a due fattori inviati alla vittima per accedere ai conti bancari online. I ricercatori di McAfee hanno anche scoperto che il server remoto di comando e controllo si trova da qualche parte in Giappone e sono in corso ulteriori indagini.