Pesquisadores descobriram um novo tipo de ataque de phishing “avançado” direcionado a telefones Android. Ele pode induzir os usuários a instalar configurações maliciosas em seus dispositivos, disfarçadas de atualizações de configuração de rede.
O ataque foi divulgado hoje (5) pela empresa de segurança cibernética Check Point Research, e encontrado em smartphones Android como o Huawei P10, LG G6, Sony Xperia XZ Premium e Samsung Galaxy S9. No entanto, qualquer aparelho que use o sistema operacional do Google pode estar vulnerável a ele.
De acordo com o relatório, o truque de phishing aproveita o provisionamento sem fio (OTA) – uma técnica frequentemente usada pelas operadoras de telecomunicações para implantar configurações específicas da operadora em novos dispositivos – para interceptar todo o tráfego de e-mail ou da Web de e para telefones Android usando falsas mensagens SMS.
“Um agente remoto pode induzir os usuários a aceitar novas configurações do telefone que, por exemplo, direcionam todo o tráfego da Internet para roubar e-mails através de um proxy controlado pelo invasor”, escreveram os pesquisadores Artyom Skrobov e Slava Makkaveev. A vulnerabilidade pode ser explorada o tempo todo ao longo do dia, desde que os telefones estejam conectados às suas redes de operadoras. Os pontos de acesso Wi-Fi, no entanto, não são afetados.
Tudo o que um cibercriminoso precisa é de um modem GSM, que pode ser usado para enviar uma mensagem não autorizada de provisionamento para os telefones suscetíveis, obtendo o número de identidade internacional de assinante móvel (IMSI), um código exclusivo amarrado a cada dispositivo que informa todos os usuários de uma rede celular.
A mensagem de provisionamento segue um formato chamado Open Mobile Alliance Client Provisioning (OMA CP), o que significa que um destinatário não pode verificar se as configurações sugeridas foram originadas de sua operadora ou de um fraudador que tenta executar um ataque man-in-the-middle.
Os pesquisadores apontaram que os telefones Samsung eram os mais fáceis de atacar, sem necessidade de autenticação para instalar uma mensagem OMA CP. Como resultado, um invasor pode alterar o servidor de mensagens MMS, o endereço de proxy do tráfego da Internet, a página inicial e os favoritos do navegador, o servidor de e-mail e qualquer servidor de diretório para sincronizar contatos e calendário. Por outro lado, os dispositivos da Huawei, LG e Sony eram relativamente mais seguros, já que exigiam que o remetente da mensagem fornecesse o código IMSI do telefone antes de aceitar a mensagem.
A conclusão que eles chegaram é que você deve estar atento ao instalar qualquer coisa não confiável no seu dispositivo, especialmente as que são entregues por meio de mensagens de texto ou vinculadas em textos. “Os malfeitores estão se tornando melhores na extração de informações fora dos pontos de acesso Wi-Fi todos os dias”, disseram os pesquisadores. “Todos devemos estar em alerta extra, principalmente quando não estamos conectados a pontos de acesso Wi-Fi públicos”.
Via: TheNextWeb