Articole

Zilele acestea o serie de mesaje ca cele afișate mai sus au ajuns sub formă de SMS pe telefoanele românilor.
Gramatica, exprimarea, dar și modalitatea de scriere a acestor mesaje, denotă că au fost trimise, cel mai probabil, de programe automate de trimitere și traduse automat. De obicei, metoda de divizare a cuvintelor fiind folosită pentru a trece de filtrul cuvintelor cheie și evitarea blocării mesajelor(un exemplu fiind mesajele care ajung în SPAM deoarece sunt considerate malițioase). În cazul nostru, cuvintele principale fiind: mesaj, mesagerie, nou, acum, vocal, prietenii… nu au ”greutatea” cuvintelor: bancă, informații, actualizare, descarcă, încât să existe necesitatea divizării acestora.

Deși exista dorința analizării acestei situații, timpul necesar nu prea exista, până când a venit SMS pe numărul nostru… și nu am putut să îl ignorăm…

Adresă web: www.dom_ain.com/nvl/?kOpJM1yX-HAsEI8
Am început cu analizarea adresei oferite, pentru a putea înțelege atacul cibernetic.
Vizitarea adresei de pe pc duce spre o eroare 404, ceea ce înseamnă că adresa nu există.. sau are restricții pe anumite dispozitive, platforme de analiză malware online, calculatoare virtuale etc.
Adresa fiind obținută prin SMS, există șanse foarte mari ca accesarea sau acțiunile stabilite la accesare să fie posibile doar dacă vizitarea se face cu un dispozitiv mobil(telefon) sau în funcție de alte criterii(IP, browser etc).

Pentru a nu intra în detaliile tehnice legate de adresa web vom sări câțiva pași, dar vom menționa că este adresa unei pagini web compromise, aceasta fiind una dintre cele mai practicate metode ale hacker-ilor, folosirea paginilor web compromise reduce expunerea acestora, credibilitatea acțiunilor ilegale și reducerea costurilor.

Suntem în etapa în care am analizat structura paginii, am adunat informații și am descoperit că folderul /nvl/ conține un singur fișier index.php. Una dintre țintele analiștilor de securitate cibernetică fiind intrarea în posesia fișierelor folosite de infractorii cibernetici, de aceea este un pas important.

Un fișier care la accesarea cu dispozitivul acceptat ar trebui să arate ceva, să te direcționeze undeva sau să îți ofere ceva pentru descărcare. Sau cel puțin așa se manifestă majoritatea atacurilor de acest fel.

Așa cum se întâmplă de foarte multe ori, pagina web nu este singura compromisă.. ci întreg serverul, împreună cu toate paginile existente. Pagini care sunt folosite atât pentru acest atac prin SMS cât și multe alte campanii de phishing, fraudă etc.

Trecem la partea de dispozitiv mobil, pentru a vedea dacă adresa în cauză ne poate oferi și alte informații despre ceea ce deja știm că este un atac cibernetic.

La accesarea adresei direct din SMS, pagina care apărea cu eroare pentru pc, identificând dispozitivul ca fiind unul mobil, afișează acum informații despre serviciul de telefonie folosit, numărul nostru de telefon, un presupus timp al mesajului și desigur posibilitatea de a descărca aplicație necesară pentru a asculta mesajul vocal.
Credibilitatea acestei ferestre este susținută de faptul că în colțul din stânga sus apare imaginea serviciului folosit și numele serviciului apare încă odată înainte de ”You have new voicemail”.

În cea de-a doua imagine am folosit tehnica descrisă și în cursul de phishing din cadrul proiectului Cyber AID, cu ajutorul căreia putem vedea ce se ascunde în spatele butonului și observăm o adresă.. destul de lungă. Accesăm adresă de pe calculatorul folosit ca și laborator de analiză malware, dar același rezultat ca la cealaltă adresă… adica nimic. Așa că o accesăm direct de pe telefon, pentru a descoperi secretul atacului, deși 99% ar trebui să fie vorba despre o aplicație malware.

Dar până la accesare, trebuie menționat un aspect foarte important, care poate reduce numărul victimelor. Sub butonul de descărcare există o informare care explică cum să schimbi setările dacă nu este permisă instalarea. În cazul acesta lipsa cunoștințelor tehnice de bază și a cunoașterii limbii engleze este un plus … în acest caz.

Apăsăm butonul într-un mod normal, pentru a vedea ce se întâmplă.

Se confirmă bănuiala în ceea ce privește tipul de atac cibernetic. Este o campanie de distribuire a unei aplicații mobile infectate cu virus, care poate extrage informații sau poate controla în totalitate dispozitivul.

15 din 63 nu este chiar ceva bun, dar rata de detecție va crește datorită faptului că am scanat online aplicația. Avem și o oarecare confirmare despre ceea ce urmărește atacatorul(Android, Banker, Dropper, Flubot..)
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:sharedUserId="FhNCOBaqbWTRpdTX.uid.shared" android:versionCode="1" android:versionName="1.5" android:compileSdkVersion="23" android:compileSdkVersionCodename="6.0-2438415" package="com.iqiyi.i18n" platformBuildVersionCode="28" platformBuildVersionName="9">
    <uses-sdk android:minSdkVersion="24" android:targetSdkVersion="28"/>
    <uses-permission android:name="android.permission.CALL_PHONE"/>
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
    <application android:theme="@style/Theme.MyApplicationTest" android:label="@string/app_name" android:icon="@drawable/design_fab_elevation" android:name="com.icecream.sandwich.k" android:debuggable="true" android:allowBackup="true" android:largeHeap="true" android:supportsRtl="true" android:extractNativeLibs="false" android:usesCleartextTraffic="true" android:appComponentFactory="p70c75997.p176b4c0b.p0df18794.p97d0d6ed">
        <activity android:name="com.iqiyi.i18n.p407b2628" android:launchMode="singleTop">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
                <category android:name="android.intent.category.LAUNCHER"/>
            </intent-filter>
        </activity>
        <service android:name="com.iqiyi.i18n.p5e7bd65e" android:enabled="true" android:exported="true"/>
        <receiver android:name="com.iqiyi.i18n.p49060a87" android:permission="android.permission.BROADCAST_SMS">
            <intent-filter>
                <action android:name="android.provider.Telephony.SMS_DELIVER"/>
            </intent-filter>
        </receiver>
        <service android:name="com.iqiyi.i18n.pcdefb005" android:enabled="true" android:exported="true"/>
        <activity android:name="com.iqiyi.i18n.pd0a77d7f" android:launchMode="singleTop">
            <intent-filter>
                <data android:scheme="sms"/>
                <category android:name="android.intent.category.DEFAULT"/>
                <action android:name="android.intent.action.SENDTO"/>
                <category android:name="android.intent.category.BROWSABLE"/>
                <data android:scheme="mmsto"/>
                <action android:name="android.intent.action.SEND"/>
                <data android:scheme="mms"/>
                <data android:scheme="smsto"/>
            </intent-filter>
        </activity>
        <receiver android:name="com.iqiyi.i18n.p5e3a14da" android:permission="android.permission.BROADCAST_WAP_PUSH">
            <intent-filter>
                <action android:name="android.provider.Telephony.WAP_PUSH_DELIVER"/>
                <data android:mimeType="application/vnd.wap.mms-message"/>
            </intent-filter>
        </receiver>
        <provider android:name="com.iqiyi.i18n.pda2d9c90" android:enabled="true" android:exported="false" android:authorities="com.iqiyi.i18n.pda2d9c90" android:grantUriPermissions="true"/>
        <service android:name="com.iqiyi.i18n.pff03a26d" android:permission="android.permission.BIND_NOTIFICATION_LISTENER_SERVICE" android:enabled="true">
            <intent-filter>
                <action android:name="android.service.notification.NotificationListenerService"/>
            </intent-filter>
        </service>
        <activity android:name="com.iqiyi.i18n.p0cb0aae8">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
            </intent-filter>
        </activity>
        <activity android:name="com.iqiyi.i18n.p7fe53cb4" android:launchMode="singleTop"/>
        <service android:name="com.iqiyi.i18n.pc2630c03" android:permission="android.permission.SEND_RESPOND_VIA_MESSAGE" android:exported="true">
            <intent-filter>
                <action android:name="android.intent.action.RESPOND_VIA_MESSAGE"/>
                <data android:scheme="sms"/>
                <data android:scheme="smsto"/>
                <category android:name="android.intent.category.DEFAULT"/>
                <data android:scheme="mms"/>
                <data android:scheme="mmsto"/>
            </intent-filter>
        </service>
        <activity android:name="com.iqiyi.i18n.peffc8420" android:launchMode="singleTop"/>
        <service android:name="com.iqiyi.i18n.p0b42ebee" android:permission="android.permission.BIND_ACCESSIBILITY_SERVICE" android:enabled="true" android:exported="false">
            <meta-data android:name="android.accessibilityservice" android:resource="@xml/accessibility_service_config"/>
            <intent-filter>
                <action android:name="android.accessibilityservice.AccessibilityService"/>
            </intent-filter>
        </service>
    </application>
    <uses-permission android:name="android.permission.FOREGROUND_SERVICE"/>
    <uses-permission android:name="android.permission.RECEIVE_SMS"/>
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.READ_SMS"/>
    <uses-permission android:name="android.permission.RECEIVE_MMS"/>
    <uses-permission android:name="android.permission.WRITE_SMS"/>
    <uses-permission android:name="android.permission.KILL_BACKGROUND_PROCESSES"/>
    <uses-permission android:name="android.permission.REQUEST_DELETE_PACKAGES"/>
    <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
    <uses-permission android:name="android.permission.WAKE_LOCK"/>
    <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
    <uses-permission android:name="android.permission.READ_CONTACTS"/>
    <uses-permission android:name="android.permission.VIBRATE"/>
    <uses-permission android:name="android.permission.SEND_SMS"/>
    <uses-permission android:name="android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS"/>
</manifest>

Aplicația conține și limba română

<?xml version="1.0" encoding="utf-8"?>
<resources>
    <string name="abc_action_bar_home_description">Navigați la ecranul de pornire</string>
    <string name="abc_action_bar_up_description">Navigați în sus</string>
    <string name="abc_action_menu_overflow_description">Mai multe opțiuni</string>
    <string name="abc_action_mode_done">Gata</string>
    <string name="linphonerc_default">Afișați tot</string>
    <string name="linphonerc_factory">Alegeți o aplicație</string>
    <string name="lpconfig">DEZACTIVAT</string>
    <string name="abc_capital_on">ACTIVAT</string>
    <string name="abc_menu_alt_shortcut_label">Alt+</string>
    <string name="abc_menu_ctrl_shortcut_label">Ctrl+</string>
    <string name="abc_menu_delete_shortcut_label">delete</string>
    <string name="abc_menu_enter_shortcut_label">enter</string>
    <string name="abc_menu_function_shortcut_label">Function+</string>
    <string name="abc_menu_meta_shortcut_label">Meta+</string>
    <string name="abc_menu_shift_shortcut_label">Shift+</string>
    <string name="ringback">space</string>
    <string name="rootca">Sym+</string>
    <string name="abc_prepend_shortcut_label">Meniu+</string>
    <string name="abc_search_hint">Căutați…</string>
    <string name="abc_searchview_description_clear">Ștergeți interogarea</string>
    <string name="abc_searchview_description_query">Termen de căutare</string>
    <string name="abc_searchview_description_search">Căutați</string>
    <string name="abc_searchview_description_submit">Trimiteți interogarea</string>
    <string name="abc_searchview_description_voice">Căutare vocală</string>
    <string name="abc_shareactionprovider_share_with">Trimiteți la</string>
    <string name="abc_shareactionprovider_share_with_application">Trimiteți folosind %s</string>
    <string name="abc_toolbar_collapse_description">Restrângeți</string>
    <string name="search_menu_title">Căutați</string>
    <string name="status_bar_notification_info_overflow">999+</string>
</resources>

La instalarea în telefon apar două fișiere:

com.iqiyi.i18n.p49060a87 android.provider.Telephony.SMS_DELIVER
com.iqiyi.i18n.p5e3a14da android.provider.Telephony.WAP_PUSH_DELIVER

Permisiunile necesare pentru a își desfășura activitatea în dispozitiv:

android.permission.CALL_PHONEAllows an application to initiate a phone call without going through the Dialer user interface for the user to confirm the call
android.permission.INTERNETAllows applications to open network sockets
android.permission.ACCESS_NETWORK_STATEAllows applications to access information about networks
android.permission.FOREGROUND_SERVICE
android.permission.RECEIVE_SMSAllows an application to receive SMS messages
android.permission.WRITE_EXTERNAL_STORAGEAllows an application to write to external storage
android.permission.READ_SMSAllows an application to read SMS messages
android.permission.RECEIVE_MMSAllows an application to monitor incoming MMS messages
android.permission.WRITE_SMSAllows an application to write MMS messages
android.permission.KILL_BACKGROUND_PROCESSESAllows an application to call killBackgroundProcesses(String)
android.permission.REQUEST_DELETE_PACKAGES Allows an application to delete packages
android.permission.READ_PHONE_STATEAllows read only access to phone state
android.permission.WAKE_LOCKAllows using PowerManager WakeLocks to keep processor from sleeping or screen from dimming
android.permission.QUERY_ALL_PACKAGES
android.permission.READ_CONTACTSAllows an application to read the user’s contacts data
android.permission.VIBRATEAllows access to the vibrator
android.permission.SEND_SMSAllows an application to send SMS messages
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONSPermission an application must hold in order to use ACTION_REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.BIND_NOTIFICATION_LISTENER_SERVICEMust be required by an NotificationListenerService, to ensure that only the system can bind to it
android.permission.SEND_RESPOND_VIA_MESSAGEAllows an application (Phone) to send a request to other applications to handle the respond-via-message action during incoming calls
android.permission.BIND_ACCESSIBILITY_SERVICEMust be required by an AccessibilityService, to ensure that only the system can bind to it

Domenii asociate:

wiprniagitknuns.pwns0.centralnic.net. hostmaster.centralnic.net
rqybkmivdweeglt.kzns.nic.kz. hostmaster.nic.kz
wlexlwrphocarsf.hostns0.centralnic.net. hostmaster.centralnic.net
vbqejyinxofjsxh.emailv0n0.nic.email. hostmaster.donuts.email
iaaukvtdrttacjr.com.uaho1.com.ns.ua. dnsmaster.hostmaster.ua
iekpphblviocqmh.topa.zdnscloud.com. td_dns_gtld.knet.cn
ojtbquxjpvgvbfj.runs1.ojtbquxjpvgvbfj.ru ns2.ojtbquxjpvgvbfj.ru

Toate aceste informații confirmă că scopul atacului cibernetic este de a prelua controlul dispozitivelor mobile care instalează aplicația. Permisiunile enumerate mai sus pot fi utile la urmărirea tranzacțiilor bancare, deoarece implică controlul asupra mesajelor pentru a vedea codurile suplimentare de autentificare, extragerea datelor bancare dar și folosirea dispozitivelor pentru răspândirea virusului către numerele de telefon stocate pe fiecare dispozitiv.

Până și accesul la setările vibrației și notificărilor telefonului sunt un aspect clar al activităților pe care le poate avea atacatorul, activități care se vor desfășura într-un mod silențios, pentru a nu atrage atenția proprietarului.

Ce se poate face pentru a evita un incident?

  • Ignorarea mesajelor care par suspicioase sau vin de la numere necunoscute,
  • Instalarea unui antivirus/ antimalware,
  • Chiar dacă ați descărcat aplicația din greșeala.. evitați să apăsați ”OPEN” sau ”INSTALL”,
  • Dacă totuși ați instalat apk-ul în telefon… închideți telefonul imediat!

Secretele evitării incidentelor cibernetice sunt:

  • Conștientizarea pericolului din mediul online și utilizarea tehnologiei,
  • Educația ciberntică, pentru a înțelege funcționalitatea atacurilor,
  • Acceptarea avertizărilor venite de la autorități(DNSC) și specialiști.

Pentru mai multe informații despre atacurile cibernetice vă așteptăm pe Cyber AID – https://www.cyberaid.eu/

După cum am menționat în articolele anterioare, dacă vrem să avem parte de acea schimbare, la nivel de securitate cibernetică, trebuie să colaborăm și să ne implicăm în această activitate zilnică.

Pe social media am anunțat apariția unei pagini ce părea afectată de Ransomware, dar era doar începutul, deoarece hackerul anunțase deja compromiterea a 3 servere de hosting. Au urmat alte 28 de pagini atacate de aceiași persoană, dar și o surpriză din partea unui atacator român care a criptat pagina unei instituții.

Adresele găsite au ajuns la CERT-RO, pentru a putea fi anunțați deținătorii. O parte dintre aceștia au luat măsurile necesare.. sau au făcut ce au putut, dar au avut inițiativă.
În schimb, o parte dintre cele 28 de pagini încă sunt la același stadiu, așa că îi vom anunța prin acest articol draguț!

Listă domenii afectate la momentul realizării articolului:

  • http://raufar.ro/
  • http://raufarwater.ro/
  • http://www.bigprintsolutions.ro/
  • http://militarywatch.ro/
  • http://imfarco.ro/
  • http://forsining.ro/
  • http://www.psihologmures.ro/
  • https://clubaventura.ro/

O altă surpriză vine din partea atacatorilor români. O nouă pagină criptată și semnată de o grupare românească!

http://gestino.ro/
Plus încă una >> http://eurodinamic.ro/

Așadar aici suntem! Lucrurile evoluează în toate direcțiile!
Nimic nu poate fi 100% securizat, dar măcar să încercăm!

Succes în activitățile pe care le aveți!

Cu respect,

Alexandru Angheluș!