În perioada 22.04.2022 – 02.05.2022 mai mulți utilizatori care dețineau telefoane mobile de tip android au primit mesaje text de tipul „Ai un nou mesaj vocal” sau ”Cineva ți-a lăsat un mesaj”. În urma accesării link-ului din interiorul mesajului, utilizatorii au descărcat aplicația de tip APK „Voicemail”, aplicație care solicită dreptul de a se instala drept Serviciu.
Specialiștii DNSC susțin că aplicațiile de acest tip sunt considerate drept aplicații de sistem și primesc permisiuni aproape totale asupra celorlalte aplicații instalate pe telefonul mobil. După ce a primit acces, aplicația dispare din lista de aplicații și va rămâne activă în background.
Singura modalitate prin care aplicația „Voicemail” poate fi dezinstalată este prin accesarea dispozitivului în modul debugging, prin utilitarul adb.
Ce poate face aplicația malițioasă după instalare:
- Starea rețelelor – aplicația interoghează starea tuturor rețelelor active
- Lista de contacte – aplicația are capacitatea de a accesa lista de contacte din telefon
- Acces în aplicații instalate – aplicația are acces nemijlocit în aplicațiile instalate pe terminalul mobil afectat și poate modifica, accesa, efectua capturi de ecran, etc.
- Acces internet – aplicația poate crea canale de comunicare prin TCP/UDP
Citește și: Frauda prin SMS ia amploare. Avertismentul Poliției: ”Nu accesați link-urile!”
- Citire sms/mms – aplicația poate citi toate mesajele de tip SMS stocate în dispozitiv
- Starea telefonului – aplicația poate afla numărul de telefon al dispozitivului, seria terminalului mobil, dacă un apel este în desfășurare, numărul de telefon al interlocutorului, etc.
- Mesaje sms/mms – aplicația poate trimite/recepționa/edita/șterge mesaje sms/mms care vor fi invizibile pentru utilizatorul legitim
- Apeluri de voce – aplicația poate efectua apeluri de tip voce fără știrea utilizatorilor. Această capabilitate poate fi folosită pentru interceptări ambientale
Citește și: Tentativă de fraudă prin SMS-uri: ”Ai un nou mesaj vocal” sau ”Cineva ți-a lăsat un mesaj”
- DGA (Domain Generation Algorithm) – aplicația are un algoritm de generare de domenii pe următoarele TLD: .ua, .ru, .kz, .biz, .top, .pw, .shop, .net,.info, .br, .xyz si .cn
- Conexiuni HTTP/S – aplicația are cod care permite conexiuni bidirecționale prin HTTP/S
- Rețea – aplicația poate crea canale de comunicație bidirecționale, inclusiv prin deschiderea de porturi pe dispozitiv, atât TCP cât și UDP
- Certificat root – aplicația are capabilitatea de a-și instala propriul certificat root în telefon, permițând astfel interceptarea comunicației criptate
- Obtinerea de informații GSM – aplicația poate obține informații despre celula la care este conectat dispozitivul
Citește și: Ce au pățit cei care au accesat link-ul din SMS-ul „Ai un nou mesaj vocal” sau ”Cineva ți-a lăsat un mesaj”
- Execuție de comenzi de sistem – aplicația permite execuția de comenzi de sistem de la distanță
- Detalii wifi – aplicația poate afla detalii despre rețeaua wifi la care este conectat dispozitivul
- Detalii GPS – aplicația poate afla locația exactă folosind GPS-ul dispozitivului
- Detalii despre SIM – aplicația poate citi cartela SIM
- Încărcare de cod – aplicația are abilitatea de a încărca și executa cod extern, probabil module suplimentare sau versiuni viitoare.
Cum se răspândește aplicația?
Deoarece aplicația are acces asupra celorlalte aplicații, accesează agenda telefonică, lista de mesaje de tip SMS/MMS și poate afla numărul de telefon dintr-un apel telefonic. De asemenea, are capabilitatea de a trimite/recepționa/modifica/șterge mesajele de tip SMS/MMS.
Pe lângă toate acestea, aplicația malițioasă poate trimite/șterge mesaje și prin platforma Facebook, care ar putea duce la răspândirea acesteia prin intermediul platformei de socializare.
Cum puteți șterge aplicația?
Metoda cea mai indicată prin care ați putea elimina aplicația din telefon este prin revenirea la setările din fabrică a mobilului.
