SMS Stealer Mobile Malware
Et globalt cyberangreb rettet mod Android-enheder beskæftiger tusindvis af Telegram-bots til at sprede SMS-stjælende malware og indfange engangs 2FA-adgangskoder (OTP'er) til over 600 tjenester. Forskere har overvåget denne operation siden februar 2022 og har identificeret mindst 107.000 unikke malware-prøver knyttet til kampagnen. Angriberne ser ud til at være drevet af økonomiske incitamenter, der sandsynligvis bruger de kompromitterede enheder til at lette godkendelse og øge anonymiteten.
Indholdsfortegnelse
Tusindvis af Telegram-bots spreder SMS Stealer-malwaren
Den SMS-stjælende malware spredes gennem to hovedmetoder: malvertising og Telegram-bots, der automatiserer kommunikation med ofre.
I den første metode bliver ofre dirigeret til falske Google Play-sider, som viser oppustede downloadnumre for at virke legitime og vinde ofrets tillid.
På Telegram tilbyder botterne piratkopierede Android-applikationer og anmoder om offerets telefonnummer, før de leverer APK-filen. Dette nummer bruges af botten til at oprette en tilpasset APK, der muliggør personlig sporing eller fremtidige angreb.
Operationen er afhængig af cirka 2.600 Telegram-bots til at distribuere forskellige Android APK'er, alle administreret af 13 Command-and-Control (C2) servere. Størstedelen af berørte individer er i Indien og Rusland, selvom der også rapporteres et betydeligt antal i Brasilien, Mexico og USA.
Hvordan trusselsaktører genererer midler fra ofre
Malwaren sender de opsnappede SMS-beskeder til et API-slutpunkt på webstedet 'fastsms.su.' Dette websted tilbyder 'virtuelle' telefonnumre fra forskellige lande, som brugere kan købe for anonymitet og for at autentificere på online platforme. Det er højst sandsynligt, at de kompromitterede enheder bliver brugt af denne tjeneste uden ofrenes viden. Malwaren udnytter de SMS-adgangstilladelser, der er givet til den på Android-enheder, til at fange OTP'er, der er nødvendige for kontoregistreringer og to-faktor-godkendelse.
For ofre kan dette resultere i uautoriserede debiteringer på deres mobilkonti og potentiel involvering i ulovlige aktiviteter sporet tilbage til deres enhed og telefonnummer. For at beskytte mod misbrug af telefonnumre skal du undgå at downloade APK-filer fra kilder uden for Google Play, undlade at give unødvendige tilladelser til apps med ikke-relaterede funktioner og sikre, at Play Protect er aktiveret på din enhed.
Angrebsflowet af SMS Stealer-operationen
Offeret lokkes til at installere en svigagtig applikation gennem vildledende annoncer, der efterligner lovlige appbutikker eller via automatiserede Telegram-bots, der interagerer direkte med målet (detaljer nedenfor).
Anmodninger om tilladelse – Få adgang
Når den er installeret, anmoder den svigagtige applikation om SMS-læsetilladelser, en højrisikofunktion på Android, der giver adgang til følsomme personlige data. Selvom legitime apps muligvis har brug for SMS-tilladelser til specifikke funktioner, er denne app's anmodning designet til at indsamle ofrets private tekstbeskeder.
Hentning af kommando- og kontrolserver – Kontakt masteren
Truslen opretter derefter forbindelse til dens Command and Control-server (C&C), som styrer dens operationer og indsamler de indsamlede data. Oprindeligt brugte malwaren Firebase til at opnå C&C-serveradressen, men har siden udviklet sig til at bruge Github-lagre eller indlejre adressen direkte i appen.
C&C Kommunikation – Indberetning og upload af data
Efter at have sikret C&C-serveradressen, etablerer den inficerede enhed en forbindelse til den. Dette tjener to formål: 1) malwaren underretter serveren om dens aktive status, og 2) den opretter en kanal til at sende stjålne SMS-beskeder, inklusive værdifulde OTP-koder.
OTP-høstning – Den skjulte samler
I den sidste fase overvåger malwaren lydløst indgående SMS-beskeder, med fokus på at opsnappe OTP'er, der bruges til online kontobekræftelse, mens den forbliver uopdaget.
