Μεταξύ 22 Απριλίου και 2 Μαΐου 2022, οι χρήστες κινητών συσκευών στη Ρουμανία έγιναν στόχος μιας εκστρατείας μόλυνσης από κακόβουλο λογισμικό που εξαπλώθηκε μέσω μηνυμάτων παγίδας που ελήφθησαν μέσω τηλεφώνου. Αυτά τα μηνύματα σχεδιάστηκαν ειδικά από τους εισβολείς για να προσδιορίσουν το πιθανό θύμα να έχει πρόσβαση στον σύνδεσμο στο μήνυμα.

Σύμφωνα με την Εθνική Διεύθυνση Κυβερνοασφάλειας (DNSC), το αντίστοιχο κείμενο ήταν στη ρουμανική γλώσσα με εμφανή λάθη και ανακοίνωσε στον χρήστη ότι είχε φωνητικό μήνυμα και για να το ακούσει έπρεπε να έχει πρόσβαση στον σύνδεσμο.

Μόλις έγινε πρόσβαση σε αυτόν τον σύνδεσμο από το smartphone, εάν δεν είχε καμία υποψία, ο χρήστης κατέβασε και εγκατέστησε μια εφαρμογή APK στο τερματικό κινητής τηλεφωνίας, για να μπορεί να ακούσει το μήνυμα.

Στην πραγματικότητα, το μήνυμα δεν υπήρχε, αυτό ήταν απλώς ένα πρόσχημα που επιδεικνύονταν από τους επιτιθέμενους για να πείσουν το πιθανό θύμα να πραγματοποιήσει τη δράση, στηριζόμενος στην περιέργειά του.

Τεχνική ανάλυση

Οι σύνδεσμοι που παρέχονται από αυτά τα μηνύματα είχαν μηχανισμό κλεισίματος User-Agent, ο οποίος ήταν προσβάσιμος μόνο σε χρήστες κινητών συσκευών Android, με ελάχιστη έκδοση Android 7.0, ένας μηχανισμός που εφαρμόστηκε για να δυσχεράνει την ανάλυση.

Μετά τη λήψη της εφαρμογής και την πρόσβαση από smartphone με λειτουργικό σύστημα Android, απαιτούσε το δικαίωμα εγκατάστασης ως υπηρεσία. Οι εφαρμογές υπηρεσίας θεωρούνται εφαρμογές συστήματος και τους παραχωρούνται σχεδόν πλήρεις άδειες σε όλες τις άλλες εγκατεστημένες εφαρμογές: https://developer.android.com/guide/components/services.

Μετά την παραχώρηση προνομίων και δικαιωμάτων υπηρεσίας, η εφαρμογή αφαιρείται από τη λίστα εφαρμογών και παραμένει ενεργή στο παρασκήνιο, και είναι πρακτικά αδύνατη η απεγκατάσταση με συμβατικές μεθόδους. Μπορεί να απεγκατασταθεί μόνο με πρόσβαση στη συσκευή σε λειτουργία αποσφαλμάτωσημέσω του βοηθητικού προγράμματος adb.

Η ανάλυση της εφαρμογής δείχνει ότι είναι χτισμένη πάνω σε μια νόμιμη εφαρμογή (IQIYI), υπογεγραμμένο μάλιστα με την ψηφιακή του υπογραφή.

Ικανότητες

• Κατάσταση δικτύου – η εφαρμογή ερωτά την κατάσταση όλων των ενεργών δικτύων
• Λίστα επαφών – η εφαρμογή έχει τη δυνατότητα πρόσβασης στη λίστα επαφών του τηλεφώνου σας
• Πρόσβαση σε εγκατεστημένες εφαρμογές – η εφαρμογή έχει άμεση πρόσβαση στις εφαρμογές που είναι εγκατεστημένες στο σχετικό τερματικό κινητής τηλεφωνίας και μπορεί να τροποποιήσει, να αποκτήσει πρόσβαση, να τραβήξει στιγμιότυπα οθόνης κ.λπ.
• Πρόσβαση στο Διαδίκτυο – η εφαρμογή μπορεί να δημιουργήσει κανάλια επικοινωνίας μέσω TCP / UDP
• Ανάγνωση sms/mms – η εφαρμογή μπορεί να διαβάσει όλα τα μηνύματα sms που είναι αποθηκευμένα στη συσκευή
• Κατάσταση τηλεφώνου – η εφαρμογή μπορεί να γνωρίζει τον αριθμό τηλεφώνου της συσκευής, τη σειρά του τερματικού κινητής τηλεφωνίας, εάν μια κλήση βρίσκεται σε εξέλιξη, τον αριθμό τηλεφώνου του καλούντος κ.λπ.
• Μηνύματα SMS/mms – η εφαρμογή μπορεί να στέλνει/λαμβάνει/επεξεργάζεται/διαγράφει μηνύματα sms/mms που θα είναι αόρατα στον νόμιμο χρήστη
• Φωνητικές κλήσεις – η εφαρμογή μπορεί να πραγματοποιεί φωνητικές κλήσεις χωρίς τη γνώση των χρηστών. Αυτή η ικανότητα μπορεί να χρησιμοποιηθεί για υποκλοπή περιβάλλοντος
• DGA (Domain Generation Algorithm) – η εφαρμογή διαθέτει αλγόριθμο δημιουργίας τομέα στα ακόλουθα TLD: .ua, .ru, .kz, .biz, .top, .pw, .shop, .net, .info , .br,. xyz αν .cn
• Συνδέσεις HTTP/S – η εφαρμογή διαθέτει κώδικα που επιτρέπει αμφίδρομες συνδέσεις μέσω HTTP/S
• Δίκτυο – η εφαρμογή μπορεί να δημιουργήσει αμφίδρομα κανάλια επικοινωνίας, συμπεριλαμβανομένων των θυρών ανοίγματος στη συσκευή, τόσο TCP όσο και UDP
• Πιστοποιητικό ρίζας – η εφαρμογή έχει τη δυνατότητα να εγκαταστήσει το δικό της πιστοποιητικό root στο τηλέφωνο, επιτρέποντας την παρακολούθηση κρυπτογραφημένων επικοινωνιών
• Λήψη πληροφοριών GSM – η εφαρμογή μπορεί να λάβει πληροφορίες σχετικά με την κυψέλη στην οποία είναι συνδεδεμένη η συσκευή
• Εκτέλεση εντολών συστήματος – η εφαρμογή επιτρέπει την εκτέλεση εντολών συστήματος από απόσταση
• Λεπτομέρειες Wi-Fi – η εφαρμογή μπορεί να βρει λεπτομέρειες σχετικά με το δίκτυο Wi-Fi στο οποίο είναι συνδεδεμένη η συσκευή
• Λεπτομέρειες GPS – η εφαρμογή μπορεί να βρει την ακριβή τοποθεσία χρησιμοποιώντας το GPS της συσκευής
• Στοιχεία SIM – η εφαρμογή μπορεί να διαβάσει την κάρτα SIM
• Λήψη κώδικα – η εφαρμογή έχει τη δυνατότητα λήψης και εκτέλεσης εξωτερικού κώδικα, πιθανώς πρόσθετων λειτουργικών μονάδων ή μελλοντικών εκδόσεων.

Λειτουργία αναπαραγωγής

Από την ανάλυση της εφαρμογής, εντοπίσαμε την ικανότητα για αυτόνομη αναπαραγωγή που μοιάζει με ιούς, χωρίς την ανάγκη μιας κλασικής εκστρατείας spear-phishing. Αυτό επιτυγχάνεται με τη δυνατότητα γνώσης του αριθμού τηλεφώνου του άλλου μέρους μιας φωνητικής κλήσης, πρόσβασης στον κατάλογο, πρόσβασης στη λίστα μηνυμάτων SMS/MMS, σε συνδυασμό με τη δυνατότητα αποστολής/λήψης /επεξεργασία/διαγραφής μηνυμάτων SMS/MMS.

Επιπλέον, μετά την ανάλυση του κώδικα της εφαρμογής, μπορέσαμε να υπολογίσουμε ότι έχει τη δυνατότητα αποστολής/διαγραφής μηνυμάτων μέσω της πλατφόρμας κοινωνικής δικτύωσης Facebook, γεγονός που καθιστά την πλατφόρμα αυτή πιθανό φορέα διάδοσης, σε μεγαλύτερη διάδοση μέσω SMS/MMS .

σύσταση

Εάν έχετε εγκαταστήσει την εφαρμογή Voicemail.apk κατά λάθος, δεν είστε υποχρεωμένοι να επιστρέψετε στις εργοστασιακές ρυθμίσεις του τερματικού κινητής τηλεφωνίας (επιστροφή στις εργοστασιακές ρυθμίσεις), ακόμα κι αν υποδεικνύεται! Εάν δεν θέλετε να πραγματοποιήσετε αυτήν την επαναφορά, μπορείτε να ακολουθήσετε τον ακόλουθο οδηγό για να συνδεθείτε στη συσκευή σας χρησιμοποιώντας ένα σύστημα linux: https://developer.android.com/studio/command-line/adb

Αφού συνδεθείτε στη συσκευή σας, εκτελέστε τις ακόλουθες εντολές:

1) Λίστα συνδεδεμένων συσκευών

dnz@info:~# συσκευές adb -l

Λίστα συνδεδεμένων συσκευών

192.168.57.113:5555 προϊόν συσκευής: μοντέλο vbox86p: Συσκευή Samsung_Galaxy_S10: vbox86p transport_id: 1

2) Απεγκατάσταση του com.iqiyi.i18n

dnz@info:~# adb απεγκατάσταση com.iqiyi.i18n

πηγή: dnsc.ro

Μείνετε ενημερωμένοι με τα τελευταία νέα. Παρακολουθήστε το Alba24 και άλλα ειδήσεις Google