Analiza atacului cibernetic prin SMS – ”Ai un nou mesaj vocal – asculta acum!”
Zilele acestea o serie de mesaje ca cele afișate mai sus au ajuns sub formă de SMS pe telefoanele românilor.
Gramatica, exprimarea, dar și modalitatea de scriere a acestor mesaje, denotă că au fost trimise, cel mai probabil, de programe automate de trimitere și traduse automat. De obicei, metoda de divizare a cuvintelor fiind folosită pentru a trece de filtrul cuvintelor cheie și evitarea blocării mesajelor(un exemplu fiind mesajele care ajung în SPAM deoarece sunt considerate malițioase). În cazul nostru, cuvintele principale fiind: mesaj, mesagerie, nou, acum, vocal, prietenii… nu au ”greutatea” cuvintelor: bancă, informații, actualizare, descarcă, încât să existe necesitatea divizării acestora.
Deși exista dorința analizării acestei situații, timpul necesar nu prea exista, până când a venit SMS pe numărul nostru… și nu am putut să îl ignorăm…
Adresă web: www.dom_ain.com/nvl/?kOpJM1yX-HAsEI8
Am început cu analizarea adresei oferite, pentru a putea înțelege atacul cibernetic.
Vizitarea adresei de pe pc duce spre o eroare 404, ceea ce înseamnă că adresa nu există.. sau are restricții pe anumite dispozitive, platforme de analiză malware online, calculatoare virtuale etc.
Adresa fiind obținută prin SMS, există șanse foarte mari ca accesarea sau acțiunile stabilite la accesare să fie posibile doar dacă vizitarea se face cu un dispozitiv mobil(telefon) sau în funcție de alte criterii(IP, browser etc).
Pentru a nu intra în detaliile tehnice legate de adresa web vom sări câțiva pași, dar vom menționa că este adresa unei pagini web compromise, aceasta fiind una dintre cele mai practicate metode ale hacker-ilor, folosirea paginilor web compromise reduce expunerea acestora, credibilitatea acțiunilor ilegale și reducerea costurilor.
Suntem în etapa în care am analizat structura paginii, am adunat informații și am descoperit că folderul /nvl/ conține un singur fișier index.php. Una dintre țintele analiștilor de securitate cibernetică fiind intrarea în posesia fișierelor folosite de infractorii cibernetici, de aceea este un pas important.
Un fișier care la accesarea cu dispozitivul acceptat ar trebui să arate ceva, să te direcționeze undeva sau să îți ofere ceva pentru descărcare. Sau cel puțin așa se manifestă majoritatea atacurilor de acest fel.
Așa cum se întâmplă de foarte multe ori, pagina web nu este singura compromisă.. ci întreg serverul, împreună cu toate paginile existente. Pagini care sunt folosite atât pentru acest atac prin SMS cât și multe alte campanii de phishing, fraudă etc.
Trecem la partea de dispozitiv mobil, pentru a vedea dacă adresa în cauză ne poate oferi și alte informații despre ceea ce deja știm că este un atac cibernetic.
La accesarea adresei direct din SMS, pagina care apărea cu eroare pentru pc, identificând dispozitivul ca fiind unul mobil, afișează acum informații despre serviciul de telefonie folosit, numărul nostru de telefon, un presupus timp al mesajului și desigur posibilitatea de a descărca aplicație necesară pentru a asculta mesajul vocal.
Credibilitatea acestei ferestre este susținută de faptul că în colțul din stânga sus apare imaginea serviciului folosit și numele serviciului apare încă odată înainte de ”You have new voicemail”.
În cea de-a doua imagine am folosit tehnica descrisă și în cursul de phishing din cadrul proiectului Cyber AID, cu ajutorul căreia putem vedea ce se ascunde în spatele butonului și observăm o adresă.. destul de lungă. Accesăm adresă de pe calculatorul folosit ca și laborator de analiză malware, dar același rezultat ca la cealaltă adresă… adica nimic. Așa că o accesăm direct de pe telefon, pentru a descoperi secretul atacului, deși 99% ar trebui să fie vorba despre o aplicație malware.
Dar până la accesare, trebuie menționat un aspect foarte important, care poate reduce numărul victimelor. Sub butonul de descărcare există o informare care explică cum să schimbi setările dacă nu este permisă instalarea. În cazul acesta lipsa cunoștințelor tehnice de bază și a cunoașterii limbii engleze este un plus … în acest caz.
Apăsăm butonul într-un mod normal, pentru a vedea ce se întâmplă.
Se confirmă bănuiala în ceea ce privește tipul de atac cibernetic. Este o campanie de distribuire a unei aplicații mobile infectate cu virus, care poate extrage informații sau poate controla în totalitate dispozitivul.
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:sharedUserId="FhNCOBaqbWTRpdTX.uid.shared" android:versionCode="1" android:versionName="1.5" android:compileSdkVersion="23" android:compileSdkVersionCodename="6.0-2438415" package="com.iqiyi.i18n" platformBuildVersionCode="28" platformBuildVersionName="9">
<uses-sdk android:minSdkVersion="24" android:targetSdkVersion="28"/>
<uses-permission android:name="android.permission.CALL_PHONE"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
<application android:theme="@style/Theme.MyApplicationTest" android:label="@string/app_name" android:icon="@drawable/design_fab_elevation" android:name="com.icecream.sandwich.k" android:debuggable="true" android:allowBackup="true" android:largeHeap="true" android:supportsRtl="true" android:extractNativeLibs="false" android:usesCleartextTraffic="true" android:appComponentFactory="p70c75997.p176b4c0b.p0df18794.p97d0d6ed">
<activity android:name="com.iqiyi.i18n.p407b2628" android:launchMode="singleTop">
<intent-filter>
<action android:name="android.intent.action.MAIN"/>
<category android:name="android.intent.category.LAUNCHER"/>
</intent-filter>
</activity>
<service android:name="com.iqiyi.i18n.p5e7bd65e" android:enabled="true" android:exported="true"/>
<receiver android:name="com.iqiyi.i18n.p49060a87" android:permission="android.permission.BROADCAST_SMS">
<intent-filter>
<action android:name="android.provider.Telephony.SMS_DELIVER"/>
</intent-filter>
</receiver>
<service android:name="com.iqiyi.i18n.pcdefb005" android:enabled="true" android:exported="true"/>
<activity android:name="com.iqiyi.i18n.pd0a77d7f" android:launchMode="singleTop">
<intent-filter>
<data android:scheme="sms"/>
<category android:name="android.intent.category.DEFAULT"/>
<action android:name="android.intent.action.SENDTO"/>
<category android:name="android.intent.category.BROWSABLE"/>
<data android:scheme="mmsto"/>
<action android:name="android.intent.action.SEND"/>
<data android:scheme="mms"/>
<data android:scheme="smsto"/>
</intent-filter>
</activity>
<receiver android:name="com.iqiyi.i18n.p5e3a14da" android:permission="android.permission.BROADCAST_WAP_PUSH">
<intent-filter>
<action android:name="android.provider.Telephony.WAP_PUSH_DELIVER"/>
<data android:mimeType="application/vnd.wap.mms-message"/>
</intent-filter>
</receiver>
<provider android:name="com.iqiyi.i18n.pda2d9c90" android:enabled="true" android:exported="false" android:authorities="com.iqiyi.i18n.pda2d9c90" android:grantUriPermissions="true"/>
<service android:name="com.iqiyi.i18n.pff03a26d" android:permission="android.permission.BIND_NOTIFICATION_LISTENER_SERVICE" android:enabled="true">
<intent-filter>
<action android:name="android.service.notification.NotificationListenerService"/>
</intent-filter>
</service>
<activity android:name="com.iqiyi.i18n.p0cb0aae8">
<intent-filter>
<action android:name="android.intent.action.MAIN"/>
</intent-filter>
</activity>
<activity android:name="com.iqiyi.i18n.p7fe53cb4" android:launchMode="singleTop"/>
<service android:name="com.iqiyi.i18n.pc2630c03" android:permission="android.permission.SEND_RESPOND_VIA_MESSAGE" android:exported="true">
<intent-filter>
<action android:name="android.intent.action.RESPOND_VIA_MESSAGE"/>
<data android:scheme="sms"/>
<data android:scheme="smsto"/>
<category android:name="android.intent.category.DEFAULT"/>
<data android:scheme="mms"/>
<data android:scheme="mmsto"/>
</intent-filter>
</service>
<activity android:name="com.iqiyi.i18n.peffc8420" android:launchMode="singleTop"/>
<service android:name="com.iqiyi.i18n.p0b42ebee" android:permission="android.permission.BIND_ACCESSIBILITY_SERVICE" android:enabled="true" android:exported="false">
<meta-data android:name="android.accessibilityservice" android:resource="@xml/accessibility_service_config"/>
<intent-filter>
<action android:name="android.accessibilityservice.AccessibilityService"/>
</intent-filter>
</service>
</application>
<uses-permission android:name="android.permission.FOREGROUND_SERVICE"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_MMS"/>
<uses-permission android:name="android.permission.WRITE_SMS"/>
<uses-permission android:name="android.permission.KILL_BACKGROUND_PROCESSES"/>
<uses-permission android:name="android.permission.REQUEST_DELETE_PACKAGES"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.WAKE_LOCK"/>
<uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.VIBRATE"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS"/>
</manifest>
Aplicația conține și limba română
<?xml version="1.0" encoding="utf-8"?>
<resources>
<string name="abc_action_bar_home_description">Navigați la ecranul de pornire</string>
<string name="abc_action_bar_up_description">Navigați în sus</string>
<string name="abc_action_menu_overflow_description">Mai multe opțiuni</string>
<string name="abc_action_mode_done">Gata</string>
<string name="linphonerc_default">Afișați tot</string>
<string name="linphonerc_factory">Alegeți o aplicație</string>
<string name="lpconfig">DEZACTIVAT</string>
<string name="abc_capital_on">ACTIVAT</string>
<string name="abc_menu_alt_shortcut_label">Alt+</string>
<string name="abc_menu_ctrl_shortcut_label">Ctrl+</string>
<string name="abc_menu_delete_shortcut_label">delete</string>
<string name="abc_menu_enter_shortcut_label">enter</string>
<string name="abc_menu_function_shortcut_label">Function+</string>
<string name="abc_menu_meta_shortcut_label">Meta+</string>
<string name="abc_menu_shift_shortcut_label">Shift+</string>
<string name="ringback">space</string>
<string name="rootca">Sym+</string>
<string name="abc_prepend_shortcut_label">Meniu+</string>
<string name="abc_search_hint">Căutați…</string>
<string name="abc_searchview_description_clear">Ștergeți interogarea</string>
<string name="abc_searchview_description_query">Termen de căutare</string>
<string name="abc_searchview_description_search">Căutați</string>
<string name="abc_searchview_description_submit">Trimiteți interogarea</string>
<string name="abc_searchview_description_voice">Căutare vocală</string>
<string name="abc_shareactionprovider_share_with">Trimiteți la</string>
<string name="abc_shareactionprovider_share_with_application">Trimiteți folosind %s</string>
<string name="abc_toolbar_collapse_description">Restrângeți</string>
<string name="search_menu_title">Căutați</string>
<string name="status_bar_notification_info_overflow">999+</string>
</resources>
La instalarea în telefon apar două fișiere:
com.iqiyi.i18n.p49060a87 android.provider.Telephony.SMS_DELIVER
com.iqiyi.i18n.p5e3a14da android.provider.Telephony.WAP_PUSH_DELIVER
Permisiunile necesare pentru a își desfășura activitatea în dispozitiv:
android.permission.CALL_PHONE | Allows an application to initiate a phone call without going through the Dialer user interface for the user to confirm the call |
android.permission.INTERNET | Allows applications to open network sockets |
android.permission.ACCESS_NETWORK_STATE | Allows applications to access information about networks |
android.permission.FOREGROUND_SERVICE | |
android.permission.RECEIVE_SMS | Allows an application to receive SMS messages |
android.permission.WRITE_EXTERNAL_STORAGE | Allows an application to write to external storage |
android.permission.READ_SMS | Allows an application to read SMS messages |
android.permission.RECEIVE_MMS | Allows an application to monitor incoming MMS messages |
android.permission.WRITE_SMS | Allows an application to write MMS messages |
android.permission.KILL_BACKGROUND_PROCESSES | Allows an application to call killBackgroundProcesses(String) |
android.permission.REQUEST_DELETE_PACKAGES | Allows an application to delete packages |
android.permission.READ_PHONE_STATE | Allows read only access to phone state |
android.permission.WAKE_LOCK | Allows using PowerManager WakeLocks to keep processor from sleeping or screen from dimming |
android.permission.QUERY_ALL_PACKAGES | |
android.permission.READ_CONTACTS | Allows an application to read the user’s contacts data |
android.permission.VIBRATE | Allows access to the vibrator |
android.permission.SEND_SMS | Allows an application to send SMS messages |
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS | Permission an application must hold in order to use ACTION_REQUEST_IGNORE_BATTERY_OPTIMIZATIONS |
android.permission.BIND_NOTIFICATION_LISTENER_SERVICE | Must be required by an NotificationListenerService, to ensure that only the system can bind to it |
android.permission.SEND_RESPOND_VIA_MESSAGE | Allows an application (Phone) to send a request to other applications to handle the respond-via-message action during incoming calls |
android.permission.BIND_ACCESSIBILITY_SERVICE | Must be required by an AccessibilityService, to ensure that only the system can bind to it |
Domenii asociate:
wiprniagitknuns.pw | ns0.centralnic.net. hostmaster.centralnic.net |
rqybkmivdweeglt.kz | ns.nic.kz. hostmaster.nic.kz |
wlexlwrphocarsf.host | ns0.centralnic.net. hostmaster.centralnic.net |
vbqejyinxofjsxh.email | v0n0.nic.email. hostmaster.donuts.email |
iaaukvtdrttacjr.com.ua | ho1.com.ns.ua. dnsmaster.hostmaster.ua |
iekpphblviocqmh.top | a.zdnscloud.com. td_dns_gtld.knet.cn |
ojtbquxjpvgvbfj.ru | ns1.ojtbquxjpvgvbfj.ru ns2.ojtbquxjpvgvbfj.ru |
Toate aceste informații confirmă că scopul atacului cibernetic este de a prelua controlul dispozitivelor mobile care instalează aplicația. Permisiunile enumerate mai sus pot fi utile la urmărirea tranzacțiilor bancare, deoarece implică controlul asupra mesajelor pentru a vedea codurile suplimentare de autentificare, extragerea datelor bancare dar și folosirea dispozitivelor pentru răspândirea virusului către numerele de telefon stocate pe fiecare dispozitiv.
Până și accesul la setările vibrației și notificărilor telefonului sunt un aspect clar al activităților pe care le poate avea atacatorul, activități care se vor desfășura într-un mod silențios, pentru a nu atrage atenția proprietarului.
Ce se poate face pentru a evita un incident?
- Ignorarea mesajelor care par suspicioase sau vin de la numere necunoscute,
- Instalarea unui antivirus/ antimalware,
- Chiar dacă ați descărcat aplicația din greșeala.. evitați să apăsați ”OPEN” sau ”INSTALL”,
- Dacă totuși ați instalat apk-ul în telefon… închideți telefonul imediat!
Secretele evitării incidentelor cibernetice sunt:
- Conștientizarea pericolului din mediul online și utilizarea tehnologiei,
- Educația ciberntică, pentru a înțelege funcționalitatea atacurilor,
- Acceptarea avertizărilor venite de la autorități(DNSC) și specialiști.
Pentru mai multe informații despre atacurile cibernetice vă așteptăm pe Cyber AID – https://www.cyberaid.eu/