« Votre envoi est en route »: cette escroquerie SMS de Correos prend le contrôle de votre mobile avec un malware difficile à désinstaller

Ces derniers jours, et aujourd’hui avec une intensité particulière pour accueillir la nouvelle année, mon cercle de contacts reçoit le message suivant par SMS:

« POST: Votre envoi est en route: https://correos-track.top/XXXXXXX/ »

Comme d’habitude, il ne s’agit pas d’une communication envoyée par Correos, mais par une personne ou un groupe à des fins malveillantes. Versus d’autres fois, le message n’arrive pas envoyé par « Correos », mais avec un numéro privé commençant par « +34 6 ». Par exemple, il nous est venu de numéros commençant par « +34 628 » ou « +34 674 », par exemple.

Le SMS conduit à un lien que nous avons modifié pour ne pas le diffuser encore plus. Sur le site Web de destination (que certains mobiles détectent comme contenant des logiciels malveillants), La poste présumée nous exhorte à suivre un envoi en attente, téléchargeons une application Android. Le problème, bien sûr, est que nous ne téléchargerons pas l’application officielle Correos, mais un fichier apk malveillant, appelé Correos.apk ou Correos-3.apk. Voici l’analyse de Virustotal.

Sachant que beaucoup de gens n’ont pas activé l’option « Sources inconnues », à partir du Web, ils expliquent toutes les étapes à suivre pour installer le fichier avec lequel ils veulent nous infecter. Si la sécurité de notre mobile est efficace, en essayant de l’installer, le système nous informera que ce n’est pas quelque chose de sécurisé.

« emails.apk »: f790fe0a3542868ec41f16657f022c084e25eabc353b0174e5fd748a2cdfc6ba
De: https: // emails[.]icu / -> https: // e-mails[.]icu / emails.apk@JosepAlbors pic.twitter.com/Chdr7rreFz

– MalwareHunterTeam (@malwrhunterteam) 22 décembre 2020

Le vrai problème commence lors de l’installation du fichier apk – alors nous ne pourrons pas le désinstaller facilement

Une fois cette application installée, la réalité est celle attendue par quiconque identifie qu’il s’agit d’un malware: ce n’est pas une application Post Office. À sa place, C’est une application qui prendra le contrôle de notre liste de contacts et des SMS que nous recevons, pouvoir les ouvrir, les lire et même les envoyer, sans nous demander la permission de le faire, quelque chose d’inhabituel. L’application a bien sûr accès à Internet, et peut également passer des appels.

De cette manière, en plus d’utiliser toutes nos données pour essayer d’obtenir de l’argent à partir d’un compte ou d’informations pertinentes telles que les mots de passe, les attaquants prennent en charge toute notre liste de contacts, auxquels ils peuvent envoyer le SMS pour voir s’ils mordent le crochet. C’est ainsi que l’arnaque se propage massivement.

Le problème est que, une fois installé, le système ne permet pas de révoquer les autorisations que le malware s’octroie, et cela devient l’application de messagerie par défaut, quelque chose que nous n’avons pas pu modifier plus tard sur un terminal Huawei.

Lorsque nous essayons de le désinstaller, Android nous dit qu’il n’est pas possible de le faire, car il a été installé avec le applications système préinstallées, qui ne peut pas être désinstallé en standard. Enfin, en aidant un membre de la famille infecté par l’apk, nous avons pu le désinstaller facilement via ADB dans Windows, en utilisant l’invite de commande.

Pour que cela fonctionne, dans les paramètres du développeur Android, nous devons activer le débogage USB. Également, Windows et ADB doivent reconnaître notre appareil (qui demandera des autorisations) lors de l’exécution de la commande « adb devices » dans l’invite de commande. S’il le reconnaît, nous devrons exécuter ces commandes, dans l’ordre:

• Tout d’abord, nous allons taper « adb shell » et appuyer sur Entrée.
• Après cela, nous écrirons « pm uninstall -k –user 0 com.tencent.mm » et appuyez sur Entrée.

Si cela fonctionne, l’application aura disparu de notre terminal.