Utilizatorii de telefoane mobile din România au fost vizaţi de o campanie de infectare cu malware. Cum poate fi dezinstalată

O campanie de infectare cu malware care se propagă prin intermediul unor mesaje-capcană venite pe telefon a vizat România în perioada 22.04.2022 - 02.05.2022. Directoratul Naţional pentru Securitate Cibernetică a oferit explicații referitoare la pașii care trebuie urmați pentru dezinstalarea aplicației malițioase “Voicemail.apk”.

Mai mulți români au primit mesaje cu link-uri, pe care, dacă le accseau, erau trimiși să instaleze în terminalul mobil o aplicaţie malițioasă. O aplicțaie malițioasă “Voicemail.apk” a fost propagată prin mesaje-capcană trimise de atacatori utilizatorilor de telefoane mobile din România în perioada sărbătorilor de Paşte. Directoratul Naţional pentru Securitate Cibernetică a explicat cum se dezinstalează aplicația. Totuși, specialiștii recomandă resetarea telefonului, dar acest lucru nu este obligatoriu, potrivit news.ro.

“În perioada 22.04.2022 - 02.05.2022, utilizatori de terminale mobile din România au fost vizaţi de o campanie de infectare cu malware care se propaga prin intermediul unor mesaje-capcană venite pe telefon. Aceste mesaje erau special concepute de atacatori pentru a determina potenţiala victimă să aceeseze link-ul prezent în mesaj. Textul corespondent era unul într-o limbă română cu greşeli evidente şi anunţa utilizatorul că are un mesaj vocal, iar pentru a-l asculta trebuie să acceseze link-ul.

„Odată ce acel link era accesat de pe smartphone, dacă nu avea suspiciuni, utilizatorul descărca şi instala în terminalul mobil o aplicaţie de tip APK, pentru a putea asculta mesajul. În realitate, mesajul nu exista, acesta fiind doar un pretext afişat de atacatori pentru a convinge potenţiala victimă să execute acţiunea, mizându-se pe curiozitatea acestuia”, au anunțat specialiștii.

„Odată ce aplicaţia era descarcată şi accesată de pe un smartphone cu sistemul de operare Android, aceasta solicita dreptul de a se instala ca Serviciu. Aplicaţiile de tip Serviciu sunt considerate aplicaţii de sistem şi primesc permisiuni aproape totale asupra tuturor celorlalte aplicaţii instalate.

După acordarea privilegiilor şi drepturilor de serviciu, aplicaţia se şterge din lista aplicaţiilor şi rămâne activă în background, fiind practic imposibil de dezinstalat prin metodele clasice. Aceasta poate fi dezinstalată doar prin accesarea dispozitivului în modul debugging, prin utilitarul adb”.

“Din analiza aplicaţiei am identificat capabilitatea de replicare autonomă, de tip viral, fără necesitatea unei campanii de tip spear-phishing clasică. Acest lucru este realizat prin capabilităţile de a afla numărul de telefon al interlocutorului unui apel voce, accesarea agendei telefonice, accesarea listei de mesaje de tip SMS/MMS, coroborate cu capabilitatea de a trimite/recepţiona/modifica/şterge mesaje de tip SMS/MMS.

În plus, în urma analizei codului aplicaţiei, am putut estima faptul că aceasta are capabilitatea de a trimite/şterge mesaje prin intermediul platformei de socializare Facebook, ceea ce face această platformă un posibil vector de răspândire, pe langă propagarea prin SMS/MMS”, a mai precizat Directoratul Naţional pentru Securitate Cibernetică.

Cum se dezinstalează aplicația malițioasă: „Nu este obligatoriu ca telefonul să revină la setările din fabrică”

Specialiştii DNSC au explicat că nu este obligatoriu să revină la setările din fabrică ale terminalului mobil (factory reset), deşi ar fi indicat!

„Dacă nu doriţi să efectuaţi această resetare, puteţi urma tutorialul disponibil aici pentru a vă conecta la dispozitiv, folosind un sistem Linux.

Odată conectat la dispozitiv, executaţi următoarele comenzi:

1) Listarea dispozitivelor conectate

dnz@info:~# adb devices -l

List of devices attached

192.168.57.113:5555 device product:vbox86p model:Samsung_Galaxy_S10 device:vbox86p transport_id:1

2) Dezinstalarea aplicatiei com.iqiyi.i18n

dnz@info:~# adb uninstall com.iqiyi.i18n”, a mai afirmat Directoratul Naţional pentru Securitate Cibernetică.