SMS Stealer Mobile Malware
Μια παγκόσμια κυβερνοεπίθεση που στοχεύει σε συσκευές Android χρησιμοποιεί χιλιάδες ρομπότ της Telegram για τη διάδοση κακόβουλου λογισμικού που κλέβει SMS και τη λήψη μεμονωμένων κωδικών πρόσβασης 2FA (OTP) για περισσότερες από 600 υπηρεσίες. Οι ερευνητές παρακολουθούν αυτή τη λειτουργία από τον Φεβρουάριο του 2022 και έχουν εντοπίσει τουλάχιστον 107.000 μοναδικά δείγματα κακόβουλου λογισμικού που συνδέονται με την καμπάνια. Οι εισβολείς φαίνεται να οδηγούνται από οικονομικά κίνητρα, τα οποία πιθανότατα χρησιμοποιούν τις παραβιασμένες συσκευές για να διευκολύνουν τον έλεγχο ταυτότητας και να ενισχύσουν την ανωνυμία.
Πίνακας περιεχομένων
Χιλιάδες ρομπότ του Telegram διαδίδουν το κακόβουλο λογισμικό SMS Stealer
Το κακόβουλο λογισμικό κλοπής SMS διαδίδεται μέσω δύο βασικών μεθόδων: κακόβουλης διαφήμισης και ρομπότ Telegram που αυτοματοποιούν την επικοινωνία με τα θύματα.
Στην πρώτη μέθοδο, τα θύματα κατευθύνονται σε ψεύτικες σελίδες Google Play, οι οποίες εμφανίζουν διογκωμένους αριθμούς λήψης για να φαίνονται νόμιμοι και να κερδίσουν την εμπιστοσύνη του θύματος.
Στο Telegram, τα ρομπότ προσφέρουν πειρατικές εφαρμογές Android και ζητούν τον αριθμό τηλεφώνου του θύματος πριν δώσουν το αρχείο APK. Αυτός ο αριθμός χρησιμοποιείται από το bot για τη δημιουργία ενός προσαρμοσμένου APK, επιτρέποντας εξατομικευμένη παρακολούθηση ή μελλοντικές επιθέσεις.
Η λειτουργία βασίζεται σε περίπου 2.600 ρομπότ Telegram για τη διανομή διαφόρων Android APK, τα οποία διαχειρίζονται όλα από 13 διακομιστές Command-and-Control (C2). Η πλειοψηφία των προσβεβλημένων ατόμων βρίσκεται στην Ινδία και τη Ρωσία, αν και σημαντικός αριθμός αναφέρεται επίσης στη Βραζιλία, το Μεξικό και τις Ηνωμένες Πολιτείες.
Πώς οι ηθοποιοί απειλών δημιουργούν κεφάλαια από θύματα
Το κακόβουλο λογισμικό στέλνει τα υποκλαπέντα μηνύματα SMS σε ένα τελικό σημείο API στον ιστότοπο «fastsms.su». Αυτός ο ιστότοπος προσφέρει «εικονικούς» αριθμούς τηλεφώνου από διάφορες χώρες, τους οποίους οι χρήστες μπορούν να αγοράσουν για λόγους ανωνυμίας και για έλεγχο ταυτότητας σε διαδικτυακές πλατφόρμες. Είναι πολύ πιθανό οι παραβιασμένες συσκευές να χρησιμοποιούνται από αυτήν την υπηρεσία εν αγνοία των θυμάτων. Το κακόβουλο λογισμικό αξιοποιεί τις άδειες πρόσβασης SMS που του έχουν χορηγηθεί σε συσκευές Android για την καταγραφή των OTP που απαιτούνται για τις εγγραφές λογαριασμών και τον έλεγχο ταυτότητας δύο παραγόντων.
Για τα θύματα, αυτό μπορεί να οδηγήσει σε μη εξουσιοδοτημένες χρεώσεις στους λογαριασμούς κινητών τηλεφώνων τους και πιθανή ανάμειξη σε παράνομες δραστηριότητες που εντοπίζονται στη συσκευή και τον αριθμό τηλεφώνου τους. Για να προστατευτείτε από την κακή χρήση του αριθμού τηλεφώνου, αποφύγετε τη λήψη αρχείων APK από πηγές εκτός του Google Play, μην παραχωρείτε περιττές άδειες σε εφαρμογές με άσχετες λειτουργίες και βεβαιωθείτε ότι το Play Protect είναι ενεργοποιημένο στη συσκευή σας.
Η ροή επίθεσης της λειτουργίας SMS Stealer
Το θύμα παρασύρεται να εγκαταστήσει μια δόλια εφαρμογή μέσω παραπλανητικών διαφημίσεων που μιμούνται τα νόμιμα καταστήματα εφαρμογών ή μέσω αυτοματοποιημένων ρομπότ Telegram που αλληλεπιδρούν απευθείας με τον στόχο (λεπτομέρειες παρακάτω).
Αιτήματα άδειας – Απόκτηση πρόσβασης
Μόλις εγκατασταθεί, η δόλια εφαρμογή ζητά άδειες ανάγνωσης SMS, μια λειτουργία υψηλού κινδύνου στο Android που επιτρέπει την πρόσβαση σε ευαίσθητα προσωπικά δεδομένα. Ενώ οι νόμιμες εφαρμογές ενδέχεται να χρειάζονται άδειες SMS για συγκεκριμένες λειτουργίες, το αίτημα αυτής της εφαρμογής έχει σχεδιαστεί για τη συλλογή των ιδιωτικών μηνυμάτων κειμένου του θύματος.
Ανάκτηση διακομιστή εντολών και ελέγχου – Επικοινωνία με τον κύριο
Στη συνέχεια, η απειλή συνδέεται με τον διακομιστή Command and Control (C&C), ο οποίος κατευθύνει τις λειτουργίες του και συλλέγει τα δεδομένα που συλλέγονται. Αρχικά, το κακόβουλο λογισμικό χρησιμοποιούσε το Firebase για να αποκτήσει τη διεύθυνση διακομιστή C&C, αλλά έκτοτε εξελίχθηκε για να χρησιμοποιεί αποθετήρια Github ή να ενσωματώνει τη διεύθυνση απευθείας στην εφαρμογή.
Επικοινωνία C&C – Αναφορά και μεταφόρτωση δεδομένων
Αφού ασφαλίσει τη διεύθυνση διακομιστή C&C, η μολυσμένη συσκευή δημιουργεί μια σύνδεση με αυτήν. Αυτό εξυπηρετεί δύο σκοπούς: 1) το κακόβουλο λογισμικό ειδοποιεί τον διακομιστή για την ενεργή του κατάσταση και 2) δημιουργεί ένα κανάλι για την αποστολή κλεμμένων μηνυμάτων SMS, συμπεριλαμβανομένων πολύτιμων κωδικών OTP.
OTP Harvesting – The Covert Collector
Στην τελική φάση, το κακόβουλο λογισμικό παρακολουθεί σιωπηλά τα εισερχόμενα μηνύματα SMS, εστιάζοντας στην υποκλοπή των OTP που χρησιμοποιούνται για την online επαλήθευση λογαριασμού, ενώ παραμένει απαρατήρητο.
