SMS zloděj mobilní malware
Globální kybernetický útok zaměřený na zařízení Android využívá tisíce robotů Telegram k šíření malwaru kradoucího SMS a získávání jednorázových hesel 2FA (OTP) pro více než 600 služeb. Výzkumníci sledovali tuto operaci od února 2022 a identifikovali nejméně 107 000 unikátních vzorků malwaru spojených s kampaní. Zdá se, že útočníci jsou vedeni finančními pobídkami, pravděpodobně využívají kompromitovaná zařízení k usnadnění autentizace a posílení anonymity.
Obsah
Tisíce telegramových botů šíří malware SMS Stealer
Malware kradoucí SMS se šíří dvěma hlavními metodami: malwarem a telegramovými roboty, které automatizují komunikaci s oběťmi.
V první metodě jsou oběti přesměrovány na falešné stránky Google Play, které zobrazují nafouknutá čísla stahování, aby vypadaly legitimně a získaly si důvěru oběti.
Na Telegramu boti nabízejí pirátské aplikace pro Android a před poskytnutím souboru APK si vyžádají telefonní číslo oběti. Toto číslo bot používá k vytvoření přizpůsobeného souboru APK, který umožňuje personalizované sledování nebo budoucí útoky.
Operace se opírá o přibližně 2 600 robotů Telegram pro distribuci různých souborů Android APK, všechny spravované 13 servery Command-and-Control (C2). Většina postižených jedinců je v Indii a Rusku, i když významný počet je hlášen také v Brazílii, Mexiku a Spojených státech.
Jak hrozební aktéři generují finanční prostředky od obětí
Malware odesílá zachycené SMS zprávy do koncového bodu API na webu 'fastsms.su'. Tato stránka nabízí „virtuální“ telefonní čísla z různých zemí, která si uživatelé mohou zakoupit pro anonymitu a pro ověření na online platformách. Je vysoce pravděpodobné, že napadená zařízení tato služba používá bez vědomí obětí. Malware využívá oprávnění k přístupu k SMS, která mu byla udělena na zařízeních Android, k zachycení jednorázových hesel potřebných pro registraci účtů a dvoufaktorové ověřování.
Pro oběti to může vést k neoprávněným poplatkům na jejich mobilních účtech a potenciálnímu zapojení do nezákonných aktivit vysledovaných zpět k jejich zařízení a telefonnímu číslu. Chcete-li se chránit před zneužitím telefonního čísla, nestahujte soubory APK ze zdrojů mimo Google Play, neudělujte zbytečná oprávnění aplikacím s nesouvisejícími funkcemi a zajistěte, aby byla na vašem zařízení povolena funkce Play Protect.
Průběh útoku operace SMS Stealer
Oběť je nalákána k instalaci podvodné aplikace prostřednictvím zavádějících reklam, které napodobují legitimní obchody s aplikacemi, nebo prostřednictvím automatizovaných robotů telegramu, kteří komunikují přímo s cílem (podrobnosti níže).
Žádosti o povolení – získání přístupu
Po instalaci si podvodná aplikace vyžádá oprávnění ke čtení SMS, což je vysoce riziková funkce v systému Android, která umožňuje přístup k citlivým osobním údajům. Zatímco legitimní aplikace mohou potřebovat oprávnění SMS pro konkrétní funkce, požadavek této aplikace je navržen tak, aby sklízel soukromé textové zprávy oběti.
Načtení příkazového a řídicího serveru – kontaktování hlavního serveru
Hrozba se poté připojí k jejímu serveru velení a řízení (C&C), který řídí její operace a shromažďuje shromážděná data. Zpočátku malware používal Firebase k získání adresy serveru C&C, ale od té doby se vyvinul tak, aby používal úložiště Github nebo vložil adresu přímo do aplikace.
C&C Communication – hlášení a nahrávání dat
Po zabezpečení adresy C&C serveru s ním infikované zařízení naváže spojení. To slouží ke dvěma účelům: 1) malware upozorní server na svůj aktivní stav a 2) vytvoří kanál pro odesílání odcizených SMS zpráv, včetně cenných OTP kódů.
Sklizeň OTP – Skrytý sběratel
V závěrečné fázi malware tiše monitoruje příchozí SMS zprávy a zaměřuje se na zachycení OTP používaných pro online ověření účtu, přičemž zůstává nedetekován.
