Cette nouvelle vague continue d’utiliser le Le SMS comme moyen d’attaque, avec des liens qui redirigent les utilisateurs vers sites Web de phishing frauduleux dans lequel ils tentent de convaincre les utilisateurs de télécharger une application pour suivre une commande. Cependant, dans ce cas, il y a quelques changements par rapport aux attaques précédentes.

SMS se faisant passer pour des entreprises de messagerie

Pour commencer, nous avons que le message est envoyé à partir d’un Numéro de téléphone mobile allemand, au lieu d’un espagnol comme lors d’occasions précédentes. Le message avertit l’utilisateur qu’un envoi a été retourné deux fois au centre le plus proche, suivi d’un code d’expédition. De plus, si vous cliquez sur le faux lien, il n’apparaît plus Fedex, Correos ou DHL, mais maintenant aussi se faire passer pour MRW.

La conception de base du Web, oui, reste la même, avec un message expliquant comment télécharger et installer une application .apk. Cette application porte le nom de l’entreprise qu’ils usurpent suivi d’un numéro, ce qui les aide à identifier la campagne de Faux SMS ils exécutent. Le site Web qu’ils utilisent, dans ce cas, est un site Web légitime qui a été détourné et modifié par les attaquants, réussissant ainsi à contourner certains mécanismes de blocage pendant plus longtemps afin que plus de gens tombent dans le piège.

Curieusement, les utilisateurs iOS qui reçoivent ce SMS, ne pouvant pas installer d’applications en dehors de l’App Store, ce qu’ils voient sur leurs mobiles est une page avec des prix supposés offerts par Amazon où ce qu’ils recherchent, c’est que l’utilisateur entre les données de votre carte de crédit.

L’application obtient toutes les autorisations possibles

Après avoir installé l’application sur Android, il demande des autorisations pour Accessibilité. Avec ces autorisations, l’application peut ignorer Google Play Protect, gérer les SMS (envoyer des messages à des services SMS premium, par exemple), envoyer des messages, et essentiellement superposer sur n’importe quelle application, pouvant même obtenir nos mots de passe ou nos coordonnées bancaires si nous les saisissons. De plus, vous pouvez créer des écrans de superposition des principales banques d’Espagne, tels que Santander, CaixaBank ou EVO.

L’application, une fois installée, a l’icône MRW, avec le nom MRW Transporte Urgente, qui passe complètement inaperçue. Cependant, l’application dispose d’autorisations pour tout si l’accessibilité lui est accordée, comme nous pouvons le voir dans l’image suivante.

L’élimination des logiciels malveillants n’est pas une tâche facile, car il est nécessaire de passer en mode sans échec, de restaurer le téléphone d’usine ou d’utiliser ADB à partir de l’ordinateur. La nouvelle version 3.8 du malware inclut même une détection de l’outil space.linuxct.malninstall, qui ne peut plus être utilisé pour désinstaller les logiciels malveillants. Dans le cas où vous avez accédé à une banque avec celle-ci installée, il est conseillé de contacter la banque dès que possible pour réinitialiser les codes d’accès.