Directoratul Naţional pentru Securitate Cibernetică (DNSC) a anunțat că între 22 aprilie - 2 mai 2022, România a fost ținta unor atacuri cibernetice lansate prin intermediul unor mesaje transmise pe telefon. Vizați de aceste atacuri au fost cei care au o anumită aplicație instalată, iar utilizatorii de terminale mobile sunt sfătuiți să o dezinstaleze, întrucât este considerată periculoasă.

Directoratul Naţional pentru Securitate Cibernetică a analizat aplicația mobilă „Voicemail.apk”, ce a fost transmisă prin intermediul unor mesaje tip capcană utilizatorilor români, în perioada Sărbătorilor Pascale.

O aplicație pune în pericol securitatea cibernetică

„În perioada 22.04.2022 - 02.05.2022, utilizatori de terminale mobile din România au fost vizaţi de o campanie de infectare cu malware care se propaga prin intermediul unor mesaje-capcană venite pe telefon. Aceste mesaje erau special concepute de atacatori pentru a determina potenţiala victimă să aceeseze link-ul prezent în mesaj. Textul corespondent era unul într-o limbă română cu greşeli evidente şi anunţa utilizatorul că are un mesaj vocal, iar pentru a-l asculta trebuie să acceseze link-ul.

Odată ce acel link era accesat de pe smartphone, dacă nu avea suspiciuni, utilizatorul descărca şi instala în terminalul mobil o aplicaţie de tip APK, pentru a putea asculta mesajul. În realitate, mesajul nu exista, acesta fiind doar un pretext afişat de atacatori pentru a convinge potenţiala victimă să execute acţiunea, mizându-se pe curiozitatea acestuia”, spun cei de la DNSC, printr-un comunicat.

Posesorii de telefoane mobile de tip Android, țintele atacurilor

Maniera de lucru a hackerilor implica un sistem de User-Agent fencing, disponibil în rândul telefoanelor cu sistem de operare Android, versiunea minimum 7.0.

„Odată ce aplicaţia era descarcată şi accesată de pe un smartphone cu sistemul de operare Android, aceasta solicita dreptul de a se instala ca Serviciu. Aplicaţiile de tip Serviciu sunt considerate aplicaţii de sistem şi primesc permisiuni aproape totale asupra tuturor celorlalte aplicaţii instalate.

După acordarea privilegiilor şi drepturilor de serviciu, aplicaţia se şterge din lista aplicaţiilor şi rămâne activă în background, fiind practic imposibil de dezinstalat prin metodele clasice. Aceasta poate fi dezinstalată doar prin accesarea dispozitivului în modul debugging, prin utilitarul adb”, explică sursa citată anterior.

Aplicația poate manipula date sensibile din telefonul mobil

Conform celor de la DNSC, „Voicemail.apk” este periculoasă pentru că poate accesa lista de contacte din telefonul mobil, alături de datele privind toate aplicațiile instalate. Mai mult, aceasta poate citi SMS-urile, numerele de telefon ale interlocutorilor sau chiar edita sau șterge anumite mesaje, devenite invizibile pentru utilizatorii de drept.

„Din analiza aplicaţiei am identificat capabilitatea de replicare autonomă, de tip viral, fără necesitatea unei campanii de tip spear-phishing clasică. Acest lucru este realizat prin capabilităţile de a afla numărul de telefon al interlocutorului unui apel voce, accesarea agendei telefonice, accesarea listei de mesaje de tip SMS/MMS, coroborate cu capabilitatea de a trimite/recepţiona/modifica/şterge mesaje de tip SMS/MMS.

În plus, în urma analizei codului aplicaţiei, am putut estima faptul că aceasta are capabilitatea de a trimite/şterge mesaje prin intermediul platformei de socializare Facebook, ceea ce face această platformă un posibil vector de răspândire, pe langă propagarea prin SMS/MMS”, mai spun cei de la DNSC.