البرمجيات الخبيثة لسرقة الرسائل القصيرة للهواتف المحمولة

يستخدم الهجوم الإلكتروني العالمي الذي يستهدف أجهزة Android الآلاف من روبوتات Telegram لنشر البرامج الضارة لسرقة الرسائل القصيرة والتقاط كلمات مرور 2FA (OTPs) لمرة واحدة لأكثر من 600 خدمة. يراقب الباحثون هذه العملية منذ فبراير 2022 وقد حددوا ما لا يقل عن 107000 عينة من البرامج الضارة الفريدة المرتبطة بالحملة. يبدو أن المهاجمين مدفوعون بحوافز مالية، ومن المحتمل أنهم يستخدمون الأجهزة المخترقة لتسهيل المصادقة وتعزيز إخفاء الهوية.

يقوم الآلاف من روبوتات Telegram بنشر البرامج الضارة لسرقة الرسائل القصيرة

تنتشر البرامج الضارة لسرقة الرسائل النصية القصيرة من خلال طريقتين رئيسيتين: الإعلانات الضارة وروبوتات Telegram التي تعمل على أتمتة التواصل مع الضحايا.

في الطريقة الأولى، يتم توجيه الضحايا إلى صفحات Google Play المزيفة، والتي تعرض أرقام التنزيلات المتضخمة لتبدو شرعية وتكسب ثقة الضحية.

على Telegram، تقدم الروبوتات تطبيقات Android مقرصنة وتطلب رقم هاتف الضحية قبل تقديم ملف APK. يستخدم الروبوت هذا الرقم لإنشاء ملف APK مخصص، مما يتيح التتبع الشخصي أو الهجمات المستقبلية.

تعتمد العملية على ما يقرب من 2600 روبوت Telegram لتوزيع العديد من ملفات APK لنظام Android، والتي تتم إدارتها جميعًا بواسطة 13 خادمًا للتحكم والتحكم (C2). غالبية الأفراد المتضررين موجودون في الهند وروسيا، على الرغم من الإبلاغ عن أعداد كبيرة أيضًا في البرازيل والمكسيك والولايات المتحدة.

كيف تقوم الجهات التهديدية بتوليد الأموال من الضحايا

ترسل البرامج الضارة رسائل SMS التي تم اعتراضها إلى نقطة نهاية واجهة برمجة التطبيقات (API) على موقع الويب "fastsms.su". يقدم هذا الموقع أرقام هواتف "افتراضية" من بلدان مختلفة، والتي يمكن للمستخدمين شراؤها من أجل عدم الكشف عن هويتهم والمصادقة عليها على منصات الإنترنت. من المحتمل جدًا أن يتم استخدام الأجهزة المخترقة بواسطة هذه الخدمة دون علم الضحايا. تستفيد البرامج الضارة من أذونات الوصول إلى الرسائل القصيرة الممنوحة لها على أجهزة Android لالتقاط كلمات المرور لمرة واحدة (OTP) اللازمة لتسجيلات الحساب والمصادقة الثنائية.

بالنسبة للضحايا، يمكن أن يؤدي ذلك إلى فرض رسوم غير مصرح بها على حساباتهم المحمولة واحتمال تورطهم في أنشطة غير قانونية يمكن إرجاعها إلى أجهزتهم ورقم هواتفهم. للحماية من إساءة استخدام رقم الهاتف، تجنب تنزيل ملفات APK من مصادر خارج Google Play، وامتنع عن منح أذونات غير ضرورية للتطبيقات ذات الوظائف غير ذات الصلة، وتأكد من تمكين Play Protect على جهازك.

تدفق الهجوم لعملية سرقة الرسائل القصيرة

يتم استدراج الضحية لتثبيت تطبيق احتيالي من خلال إعلانات مضللة تحاكي متاجر التطبيقات الشرعية أو عبر روبوتات Telegram الآلية التي تتفاعل مباشرة مع الهدف (التفاصيل أدناه).

طلبات الإذن – الوصول

بمجرد التثبيت، يطلب التطبيق الاحتيالي أذونات قراءة الرسائل القصيرة، وهي ميزة عالية الخطورة على Android تسمح بالوصول إلى البيانات الشخصية الحساسة. في حين أن التطبيقات الشرعية قد تحتاج إلى أذونات الرسائل القصيرة لوظائف محددة، فإن طلب هذا التطبيق مصمم لجمع الرسائل النصية الخاصة للضحية.

استرجاع خادم القيادة والتحكم - الاتصال بالسيد

ثم يتصل التهديد بخادم القيادة والتحكم (C&C)، الذي يوجه عملياته ويجمع البيانات التي تم جمعها. في البداية، استخدمت البرامج الضارة Firebase للحصول على عنوان خادم القيادة والسيطرة ولكنها تطورت منذ ذلك الحين لاستخدام مستودعات Github أو تضمين العنوان مباشرة داخل التطبيق.

اتصالات القيادة والسيطرة - إعداد التقارير وتحميل البيانات

بعد تأمين عنوان خادم القيادة والسيطرة، يقوم الجهاز المصاب بإنشاء اتصال به. يخدم هذا غرضين: 1) يقوم البرنامج الضار بإعلام الخادم بحالته النشطة، و2) يقوم بإنشاء قناة لإرسال رسائل SMS مسروقة، بما في ذلك رموز OTP القيمة.

حصاد OTP – الجامع السري

وفي المرحلة النهائية، تقوم البرمجيات الخبيثة بمراقبة الرسائل النصية القصيرة الواردة بصمت، مع التركيز على اعتراض كلمات المرور لمرة واحدة المستخدمة للتحقق من الحساب عبر الإنترنت دون أن يتم اكتشافها.