Programari maliciós mòbil SMS Stealer
Un ciberatac global dirigit a dispositius Android empra milers de robots de Telegram per difondre programari maliciós que roba SMS i capturar contrasenyes 2FA (OTP) d'una sola vegada per a més de 600 serveis. Els investigadors han estat supervisant aquesta operació des del febrer de 2022 i han identificat almenys 107.000 mostres úniques de programari maliciós vinculades a la campanya. Els atacants semblen estar impulsats per incentius financers, probablement utilitzant els dispositius compromesos per facilitar l'autenticació i millorar l'anonimat.
Taula de continguts
Milers de robots de Telegram difonen el programari maliciós SMS Stealer
El programari maliciós que roba SMS es propaga a través de dos mètodes principals: publicitat maliciós i robots de Telegram que automatitzen la comunicació amb les víctimes.
En el primer mètode, les víctimes es dirigeixen a pàgines falses de Google Play, que mostren números de descàrrega inflats per semblar legítims i guanyar-se la confiança de la víctima.
A Telegram, els robots ofereixen aplicacions d'Android pirates i sol·liciten el número de telèfon de la víctima abans de proporcionar el fitxer APK. Aquest número l'utilitza el bot per crear un APK personalitzat, que permet un seguiment personalitzat o atacs futurs.
L'operació es basa en aproximadament 2.600 robots de Telegram per distribuir diversos APK d'Android, tots gestionats per 13 servidors de comandament i control (C2). La majoria de les persones afectades es troben a l'Índia i Rússia, tot i que també s'han informat nombres significatius al Brasil, Mèxic i els Estats Units.
Com els actors d'amenaça generen fons de les víctimes
El programari maliciós envia els missatges SMS interceptats a un punt final de l'API al lloc web "fastsms.su". Aquest lloc ofereix números de telèfon "virtuals" de diversos països, que els usuaris poden comprar per a l'anonimat i per autenticar-se a plataformes en línia. És molt probable que aquest servei faci servir els dispositius compromesos sense el coneixement de les víctimes. El programari maliciós aprofita els permisos d'accés per SMS que se li atorguen als dispositius Android per capturar OTP necessaris per als registres de comptes i l'autenticació de dos factors.
Per a les víctimes, això pot provocar càrrecs no autoritzats als seus comptes mòbils i possibles implicacions en activitats il·legals que es remunten al seu dispositiu i número de telèfon. Per protegir-vos de l'ús indegut del número de telèfon, eviteu baixar fitxers APK de fonts fora de Google Play, absteniu-vos de concedir permisos innecessaris a aplicacions amb funcions no relacionades i assegureu-vos que Play Protect estigui activat al vostre dispositiu.
El flux d'atac de l'operació SMS Stealer
La víctima és atraïda per instal·lar una aplicació fraudulenta mitjançant anuncis enganyosos que imiten botigues d'aplicacions legítimes o mitjançant robots de Telegram automatitzats que interactuen directament amb l'objectiu (detalls a continuació).
Sol·licituds de permís: obtenció d'accés
Un cop instal·lada, l'aplicació fraudulenta sol·licita permisos de lectura d'SMS, una característica d'alt risc a Android que permet accedir a dades personals sensibles. Tot i que les aplicacions legítimes poden necessitar permisos d'SMS per a funcions específiques, la sol·licitud d'aquesta aplicació està dissenyada per recollir els missatges de text privats de la víctima.
Recuperació del servidor de comandaments i control: contacte amb el mestre
Aleshores, l'amenaça es connecta al seu servidor de comandament i control (C&C), que dirigeix les seves operacions i recull les dades recollides. Inicialment, el programari maliciós utilitzava Firebase per obtenir l'adreça del servidor C&C, però des de llavors ha evolucionat per utilitzar repositoris Github o incrustar l'adreça directament a l'aplicació.
Comunicació C&C: informes i càrrega de dades
Després d'assegurar l'adreça del servidor C&C, el dispositiu infectat estableix una connexió amb ell. Això té dos propòsits: 1) el programari maliciós notifica al servidor el seu estat actiu i 2) crea un canal per enviar missatges SMS robats, inclosos codis OTP valuosos.
OTP Harvesting: el col·leccionista encobert
A la fase final, el programari maliciós supervisa silenciosament els missatges SMS entrants, centrant-se a interceptar OTP utilitzats per a la verificació del compte en línia sense detectar-los.
