‘DHL’ трекинг SMS отправляет вредоносное ПО пользователям Android в Германии с C & C сервером в Японии

В следующий раз, когда вы получите SMS от грузоперевозчика DHL о доставке /предстоящей доставке пакета или посылки, будьте осторожны. В отчете, опубликованном в блоге McAfee, исследователи безопасности заметили, что короткие текстовые сообщения (SMS), отправляемые DHL, утверждающие, что это уведомление о трекинге вашего пакета, на самом деле доставляют вредоносное ПО для Android на ваш смартфон. Это спам SMS был замечен только в Германии на данный момент.

Читатели заметят, что использование уведомлений о трекинге в качестве метода спама так же старо, как и сам электронный адрес, при этом большинство уважаемых курьеров, таких как RMS, DHL, FedEx или UPS, используются для обмана ничего не подозревающих жертв. Однако это первый случай, когда, по словам исследователей, SMS используется для распространения вредоносного ПО на Android с использованием этого метода.

• *

Исследователи из McAfee Labs заметили, что эта тенденция в настоящее время нацелена на пользователей в Германии, где они получают вредоносное ПО, хранящееся в облачном хранилище, предоставляемом Dropbox. Вредоносный файл представляет собой установочный пакет с именем “DHL.apk” и доставляется через общую ссылку, замаскированную с помощью сервиса сокращения URL от Google.

• *

Согласно McAfee, немецкое SMS гласит “Ihr DHL Packung ist ihnen geliefert, verfolgen Sie online über,” за которым следует URL для вредоносной загрузки. В переводе это информирует о том, что посылка DHL была доставлена и ее можно отследить по предоставленной ссылке. Это дает очень хорошую мотивацию для жертв кликнуть по ссылке и загрузить вредоносное ПО.

После установки вредоносное ПО делает то, что должно делать нормальное вредоносное ПО.

предполагается. Оно захватывает Google Service Framework, отключает его, а затем занимает его место на главном экране. При первом запуске пользователя просят предоставить ему права администратора.

• *

Исследователи безопасности из McAfee назвали вредоносное ПО Android/SmsHnd.A. После установки и получения прав пользователя вредоносное ПО инициирует фоновый сервис для установления связи с сервером командования и управления, откуда оно получает инструкции о том, что красть с устройства. Согласно исследователям, оно может,

• Утечка конфиденциальной информации устройства (номер телефона, модель устройства, IMEI и IMSI)

• Отправка SMS-сообщений с использованием данных (номер телефона и текст), предоставленных удаленным сервером

• Отправка конкретного текстового сообщения всем контактам телефона и SIM-карты

• Кража списка контактов

• *

**

Более того, киберпреступники разработали его так, чтобы он мог отправлять короткие текстовые сообщения с информацией (номер телефона и текст), полученной от сервера командования и управления. Оно также может использоваться для дальнейшего распространения вредоносного ПО, отправляя его контактам жертвы в адресной книге.

“В дополнение к этим действиям, каждый раз, когда SMS-сообщение отправляется на зараженное устройство (но не с любого из номеров из списка контактов жертвы), оно будет перехвачено и перенаправлено на удаленный сервер,”

| | | |

| | Источник изображения McAfee Blog | |

Одной из причин этого может быть перехват кодов двухфакторной аутентификации, отправляемых жертве для входа в онлайн-банковские счета. Исследователи McAfee также выяснили, что удаленный сервер командования и управления находится где-то в Японии, и проводятся дальнейшие расследования.