SMS truffa da DHL: domani consegneremo il tuo pacco. Non aprite!
Da qualche giorno sta circolando un SMS truffa in cui si legge: “domani consegneremo il tuo pacco” e nel quale si invita ad effettuare il download di un’applicazione, che generalmente prende il nome di “DHL Express Mobile“. Sfruttando il nome della famosa compagnia di trasporti, infatti, attaccanti per il momento ancora anonimi stanno cercando di far scaricare ed installare un’applicazione dannosa sui telefoni di milioni di italiani. Se anche voi avete ricevuto questo SMS, non aprite in alcun modo il link in esso contenuto e continuare a leggere l’articolo.
L’SMS, proveniente da un numero inesistente, viene in questi giorni consegnato a milioni di italiani, probabilmente anche a seguito del data breach di Facebook, nel quale si trovano i dati personali di ben 36 milioni di cittadini. Dato che oramai non passa giorno in cui non si aspetta un ordine effettuato online, in molti sono gli utenti cascati in questo tranello, ritenendo effettivamente che il messaggio fosse autentico. In realtà, il link contenuto nell’SMS, rimanda ad un’applicazione fasulla contenente del codice dannoso il cui scopo è quello di sottrarre quanti più dati possibili contenuti nel vostro smartphone.
Una volta effettuato il click sull’URL, verrà effettuato il download e l’installazione di un file .apk contenente un’applicazione fasulla che prende il nome di “DHL Express Mobile” (identificativo MD5: 4c0268f7d44fa22d004d2e2258864b64). Il sito Web di riferimento è in realtà anch’esso vittima del raggiro, in quanto non ha niente a che vedere con l’autore della truffa, in quanto si tratta semplicemente di un portale (in questo caso di un ecommerce) che è stato violato e nel quale è stato caricato il file infetto. Così facendo, il reale autore della truffa è in grado di aumentare il proprio grado di anonimato.
L’applicazione installata, almeno in questo caso, si presenta come nello screenshot che qui sotto vi riporto.
Avendo recuperato il file .apk, ho effettuato un’analisi dell’applicazione installata e qui di seguito sono in grado di dirvi quali sono le azioni che compie sul vostro smartphone, nel malaugurato caso in cui abbiate installato l’applicazione in questione sul vostro telefono. Vi anticipo che, se avete commesso questo errore, quasi qualsiasi informazione sul vostro telefono è già stata sottratta ed è bene cambiare non soltanto qualsiasi password, ma avvisare tutti i propri conoscenti che molto probabilmente riceveranno a breve anche loro un SMS, in quanto l’applicazione si diffonde a tutti i contatti della rubrica.
Le operazioni eseguite dal virus una volta installato sono le seguenti:
- Verifica che una SIM sia inserita nel telefono
- Verifica che la connessione internet sia attiva
- Ottiene l’accesso a tutta la lista SMS
- Ottiene l’accesso a tutte le telefonate
- Ottiene l’accesso a tutta la rubrica
- Invia SMS con il vostro numero di telefono
- Intercetta tutto quello che scrivete
- Scatta foto con la fotocamera
- Estrae tutta una serie di informazioni dal vostro telefono
- Comunica all’autore del virus tutta una serie di informazioni e tutti i vostri dati
Nel caso in cui abbiate voglia o interesse, facendo click qui, potete trovare un report completo sull’analisi condotta e sulle operazioni che vengono fatte sul vostro telefono una volta installato questo malware.
Qui sotto, invece, trovate lo screenshot di un riepilogo di quanto acccade.
Esistono diverse varianti del messaggio. In alcuni di questi, infatti, la dicitura che ritroviamo è: “Il tuo pacco è stato trattenuto presso il nostro centro di spedizione“, con il relativo invito a scaricare un’applicazione fasulla. In questo caso, il corriere “sfruttato” non è più DHL, ma bensì TNT. Anche in questo caso, il tutto serve a dare un senso di autorevolezza al messaggio.
Cosa fare se avete installato l’app?
Se avete per errore aperto l’URL ed installato l’applicazione fasulla, sappiate che per i dati ormai sottratti non c’è molto da fare: non possono essere cancellati dal computer dell’attaccante, il quale è ormai in possesso delle vostre informazioni. Quello che sicuramente è bene fare, prima di tutto, è modificare i dati di accesso di qualsiasi piattaforma alla quale siete iscritti (ed in particolare, homebanking, Social Network e similari), attivando al contempo anche il “fattore a doppia autenticazione”.
Sarebbe poi buona norma avvisare tutti i vostri contatti della rubrica che potrebbero ricevere SMS dal vostro numero di telefono, che però non sono stati in alcun modo da voi inviati.
Se inoltre all’interno del vostro smartphone avevate dati sensibili di qualsiasi tipo, ove possibile, è bene metterli in sicurezza, in quanto una copia di questi sono sicuramente nelle mani dell’attaccante. Se si tratta di numeri di carte di credito o codici di accesso a luoghi fisici, è bene correre ai ripari.