SMS Stealer Mobile Malware
Глобална кибератака, насочена към устройства с Android, използва хиляди ботове на Telegram за разпространение на злонамерен софтуер за кражба на SMS и за улавяне на еднократни 2FA пароли (OTP) за над 600 услуги. Изследователите наблюдават тази операция от февруари 2022 г. и са идентифицирали най-малко 107 000 уникални проби от зловреден софтуер, свързани с кампанията. Нападателите изглежда са водени от финансови стимули, като вероятно използват компрометираните устройства за улесняване на удостоверяването и подобряване на анонимността.
Съдържание
Хиляди ботове на Telegram разпространяват зловредния софтуер SMS Stealer
Зловреден софтуер за кражба на SMS се разпространява чрез два основни метода: злонамерена реклама и Telegram ботове, които автоматизират комуникацията с жертвите.
При първия метод жертвите се насочват към фалшиви страници на Google Play, които показват завишени числа за изтегляне, за да изглеждат легитимни и да спечелят доверието на жертвата.
В Telegram ботовете предлагат пиратски приложения за Android и изискват телефонния номер на жертвата, преди да предоставят APK файла. Този номер се използва от бота за създаване на персонализиран APK, позволяващ персонализирано проследяване или бъдещи атаки.
Операцията разчита на приблизително 2600 бота на Telegram за разпространение на различни Android APK, всички управлявани от 13 Command-and-Control (C2) сървъра. По-голямата част от засегнатите лица са в Индия и Русия, въпреки че значителен брой се съобщава и в Бразилия, Мексико и Съединените щати.
Как участниците в заплахата генерират средства от жертвите
Зловреден софтуер изпраща прихванатите SMS съобщения до крайна точка на API на уебсайта „fastsms.su“. Този сайт предлага „виртуални“ телефонни номера от различни държави, които потребителите могат да закупят за анонимност и за удостоверяване на онлайн платформи. Много е вероятно компрометираните устройства да се използват от тази услуга без знанието на жертвите. Злонамереният софтуер използва разрешенията за достъп до SMS, дадени му на устройства с Android, за да улови OTP, необходими за регистрации на акаунти и двуфакторно удостоверяване.
За жертвите това може да доведе до неоторизирани такси на мобилните им акаунти и потенциално участие в незаконни дейности, проследени до тяхното устройство и телефонен номер. За да се предпазите от злоупотреба с телефонен номер, избягвайте да изтегляте APK файлове от източници извън Google Play, въздържайте се от даване на ненужни разрешения на приложения с несвързани функции и се уверете, че Play Protect е активиран на вашето устройство.
Потокът от атаки на операцията SMS Stealer
Жертвата е подмамена да инсталира измамно приложение чрез подвеждащи реклами, които имитират законни магазини за приложения или чрез автоматизирани ботове на Telegram, които взаимодействат директно с целта (подробности по-долу).
Искания за разрешение – получаване на достъп
Веднъж инсталирано, измамното приложение изисква разрешения за четене на SMS, високорискова функция на Android, която позволява достъп до чувствителни лични данни. Докато легитимните приложения може да се нуждаят от разрешения за SMS за конкретни функции, заявката на това приложение е предназначена да събира личните текстови съобщения на жертвата.
Извличане на команден и контролен сървър – Свързване с главния
След това заплахата се свързва със своя сървър за командване и контрол (C&C), който ръководи нейните операции и събира събраните данни. Първоначално злонамереният софтуер използва Firebase, за да получи адреса на C&C сървъра, но оттогава еволюира, за да използва хранилища на Github или да вгради адреса директно в приложението.
C&C комуникация – Докладване и качване на данни
След като защити адреса на C&C сървъра, заразеното устройство установява връзка с него. Това служи за две цели: 1) зловредният софтуер уведомява сървъра за активния си статус и 2) създава канал за изпращане на откраднати SMS съобщения, включително ценни OTP кодове.
OTP Harvesting – Скритият събирач
В последната фаза злонамереният софтуер безшумно следи входящите SMS съобщения, като се фокусира върху прихващането на OTP, използвани за онлайн проверка на акаунта, като същевременно остава незабелязан.
