Uma farsa”Dados Jio de 25 GB gratuitos” A oferta está circulando recentemente. O link no SMS: http [:] //tiny.cc/JIO-4G se expande para um compartilhado Pacote Android arquivo (APK) em public.boxcloud.com. O APK tem 10 atividades, 3 serviços e 1 receptor, no total. Quando uma vítima clica no link, o aplicativo solicita as seguintes permissões durante a instalação:

• android.permission.READ_PHONE_STATE: permite que o aplicativo acesse o estado do telefone da vítima, incluindo o número do telefone, as informações da rede celular, o status das chamadas em andamento e uma lista de todas as contas telefônicas registradas no dispositivo.
• android.permission.ACCESS_FINE_LOCATION: permite que o aplicativo acesse a localização precisa.
• android.permission.ACCESS_COARSE_LOCATION: permite que o aplicativo acesse a localização aproximada.
• android.permission.foreground_service: permite que o aplicativo use service.startForeground.
• android.permission.READ_CONTACTS: permite que um aplicativo leia os dados dos contatos telefônicos da vítima.
• android.permission.SEND_SMS: permite que o aplicativo envie mensagens SMS
• android.permission.ACCESS_WIFI_STATE: permite que o aplicativo acesse informações sobre redes Wi-Fi.
• android.permission.ACCESS_NETWORK_STATE: permite que o aplicativo acesse informações sobre redes.
• android.permission.RECEIVE_BOOT_COMPLETED: permite que o aplicativo receba o Intent.ACTION_BOOT_COMPLETED que é transmitido após a conclusão da inicialização do sistema.
• com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE: permite que o aplicativo informe se a instalação foi iniciada a partir de um anúncio no Privacy Browser Free.

Essas permissões permitem que o aplicativo acesse os contatos telefônicos da vítima. Depois que o aplicativo é acessado, ele envia o mesmo SMS “Oferta gratuita de 25 GB de dados Jio” para contatos selecionados que têm números Jio. O worm usa uma solicitação POST para o jio.com ponto final de recarga, para determinar se o número é um número Jio ou não. Somente se for um número Jio, a mensagem acima será enviada. Código para determinar se o número pertence a Jio: A mensagem não é enviada para todos os contatos de uma só vez. Em vez disso, usando um número inteiro aleatório, o aplicativo agenda as mensagens adicionando um atraso arbitrário. Tudo isso é feito sem notificar a vítima. Código para enviar a mensagem em intervalos aleatórios: O worm usa esse método de propagação de si mesmo e, portanto, da mensagem, para gerar receita publicitária. Como o aplicativo tem várias contas para o StartAppSDK, dependendo de quando o aplicativo é aberto, ele inicializa uma das contas e instrui a vítima a clicar no anúncio, gerando receita. Muitas variantes do mesmo golpe foram notado no passado. Descobriu-se que um desses worms Android tinha 62 mensagens de texto predefinidas diferentes, com links apontando para o aplicativo Android. Nesse caso, quando a vítima clica no link, o aplicativo é instalado e, em seguida, coleta seu número de telefone. Em seguida, o usuário é solicitado a compartilhar a mensagem via whatsapp, com 10 pessoas, para aproveitar a oferta. Depois que a vítima envia a mensagem para 10 pessoas, ela recebe uma notificação dizendo que agora pode aproveitar a oferta. Dessa forma, os worms do Android são capazes de gerar receita baseada em anúncios. Exemplo de outra oferta que usa o registro do Jio-Fiber para espalhar worms Android e gerar receita publicitária.

Indicadores de compromisso:

MD5:000df3a5253be8cec6c7a4b739b75885 SHA1:8060757caeca9b4f4260d58f335b990ea59340f0 SHA256: fbea91e1673e13e5bc7c1b8a7a98ab5154a8dc21d572ffb479f9c1cbe827112b