SMS de rastreamento da ‘DHL’ envia malware para usuários Android na Alemanha com servidor C & C no Japão

Da próxima vez que você receber um SMS dos transportadores DHL sobre a entrega / entrega iminente de um pacote ou encomenda, tenha cuidado. Em um relatório publicado no McAfee Blog, pesquisadores de segurança observaram que mensagens de texto curtas (SMS) enviadas pela DHL, alegando ser uma notificação de rastreamento do seu pacote, na verdade entregam um malware Android malicioso para seu smartphone. Este spam de SMS específico foi notado apenas na Alemanha até agora.

Os leitores notarão que usar notificações de rastreamento como um método de spam é tão antigo quanto o próprio e-mail, com a maioria de todos os correios respeitáveis, como RMS, DHL, FedEx ou UPS, sendo usados para usurpar o dinheiro de vítimas desavisadas. No entanto, esta é a primeira vez que os pesquisadores observam que um SMS está sendo usado para distribuir malware no Android usando este método.

• *

Pesquisadores do McAfee Labs notaram que essa tendência está atualmente direcionada a usuários na Alemanha, onde eles recebem malware armazenado no armazenamento em nuvem fornecido pelo Dropbox. O arquivo malicioso é um pacote de instalação com o nome “DHL.apk” e é entregue através de um link compartilhado que é mascarado pelo serviço de encurtamento de URL do Google.

• *

De acordo com a McAfee, o SMS alemão diz “Ihr DHL Packung ist ihnen geliefert, verfolgen Sie online über,” seguido pelo URL para o download malicioso. Traduzido, isso informa que o pacote DHL foi entregue e pode ser rastreado através do link fornecido. Isso fornece um motivo muito bom para as vítimas clicarem no link e baixarem o malware.

Após a instalação, o malware faz o que um malware normal é
suposto fazer. Ele assume o Google Service Framework, o desliga e então assume seu lugar na tela inicial. Na primeira execução, o usuário é solicitado a conceder privilégios de administrador.

• *

Os pesquisadores de segurança da McAfee nomearam o malware como Android/SmsHnd.A. O malware, após a instalação e obtenção de privilégios do usuário, inicia um serviço em segundo plano para estabelecer comunicação com o servidor de comando e controle, de onde recebe instruções sobre o que roubar do dispositivo. De acordo com os pesquisadores, ele pode,

• Vazar informações sensíveis do dispositivo (número de telefone, modelo do dispositivo, IMEI e IMSI)

• Enviar mensagens SMS usando dados (número de telefone e texto) fornecidos pelo servidor remoto

• Enviar uma mensagem de texto específica para todos os contatos do telefone e SIM

• Roubar a lista de contatos

• *

**

Além disso, os cibercriminosos o projetaram para ser capaz de enviar mensagens de texto curtas com informações (número de telefone e texto) recebidas do servidor de comando e controle. Ele também pode ser usado para espalhar ainda mais o malware, enviando-o para os contatos das vítimas na lista de endereços.

“Além dessas ações, toda vez que uma mensagem SMS é enviada para o dispositivo infectado (mas não de nenhum dos números da lista de contatos da vítima), ela será interceptada e encaminhada para um servidor remoto,”

| | | |

| | Fonte da imagem McAfee Blog | |

*Uma razão para isso seria interceptar os códigos de autenticação de dois fatores enviados à vítima para fazer login em contas bancárias online. Os pesquisadores da McAfee também descobriram que o servidor remoto de Comando e Controle está baseado em algum lugar no Japão e investigações adicionais estão em andamento.