SmsSpy Malware

Por Mezo em Mobile Malware

Traduzir Para:

A campanha de smishing realizada pelo grupo de hackers Roaming Mantis ainda está em evolução. Os alvos principais da operação têm sido usuários de países asiáticos, mas agora os hackers implantaram um novo malware chamado SmsSpy, projetado para infectar especificamente os usuários japoneses. O principal objetivo da cepa de malware é coletar números de telefone e mensagens SMS dos dispositivos Android comprometidos. A ameaça é capaz de implantar duas versões diferentes, dependendo da versão do sistema operacional Android do usuário, levando a um aumento substancial de vítimas em potencial.

Vetor de Compromisso Inicial

O ataque começa com mensagens SMS de phishing que levam os usuários a uma página da Web corrompida. O texto exato da mensagem falsa pode variar, pois os cibercriminosos podem fingir ser uma empresa de logística que precisa de confirmação para algum serviço do usuário. Em outro cenário, os usuários supostamente estão sendo alertados sobre problemas com sua conta Bitcoin e são instruídos a seguir o link fornecido para verificar suas informações de login.

A página de phishing irá então verificar a versão Android do dispositivo do usuário para determinar as seguintes etapas do ataque. Em dispositivos com Android OS 10 ou posterior, a ameaça de malware será implantada como um aplicativo Google Play falso. Para dispositivos que usam Android 9 ou anterior, um aplicativo falso do Chrome será baixado.

A Funcionalidade Ameaçadora do SmsSpy

Uma vez instalado, o aplicativo prejudicial irá solicitar ser definido como o aplicativo de mensagens padrão para o dispositivo obter acesso aos contatos e mensagens SMS da vítima. A tela de notificação exibida ao usuário corresponde à versão do aplicativo que foi baixado. A variante do Google Play se apresenta como um serviço de segurança que supostamente fornecerá proteção contra vírus, spyware, anti-phishing e spam. Já o falso aplicativo do Chrome avisa os usuários de que não aceitar suas solicitações de permissão pode fazer com que o aplicativo não seja capaz de iniciar ou limitar suas funções.

Posteriormente, o SmsSpy ocultará seu ícone e tentará estabelecer comunicação com seu servidor de comando e controle por meio de uma comunicação WebSocket. O endereço padrão é incorporado ao código do malware, mas também possui informações de link que são ativadas sempre que a localização do servidor C2 precisa ser atualizada. Os servidores C2 geralmente estão ocultos na página de perfil do usuário de um serviço de blog, mas alguns exemplos também foram observados usando um serviço de documentos online chinês para o mesmo propósito.

Durante o handshake inicial, o malware SmsSpy envia detalhes do sistema sobre o dispositivo infectado, incluindo a versão do sistema operacional Android, número de telefone, modelo do dispositivo, um ID de dispositivo exclusivo e tipo de conexão à Internet. A ameaça entrará em modo de escuta, onde ficará dormente enquanto espera pelos comandos recebidos. Os invasores podem exfiltrar todo o catálogo de contatos e mensagens SMS, enviar e excluir mensagens SMS e muito mais.

Buscar

Mudar de região

SmsSpy Malware

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela