SMS Stealer mobiili pahavara
Android-seadmetele suunatud globaalne küberrünnak kasutab tuhandeid Telegrami roboteid, et levitada SMS-varastavat pahavara ja püüda ühekordseid 2FA paroole (OTP-sid) enam kui 600 teenuse jaoks. Teadlased on seda toimingut jälginud alates 2022. aasta veebruarist ja on tuvastanud vähemalt 107 000 unikaalset kampaaniaga seotud pahavara näidist. Tundub, et ründajaid ajendavad rahalised stiimulid, tõenäoliselt kasutavad nad ohustatud seadmeid autentimise hõlbustamiseks ja anonüümsuse suurendamiseks.
Sisukord
Tuhanded Telegrami robotid levitavad SMS Stealeri pahavara
SMS-varastav pahavara levib kahe peamise meetodi kaudu: pahatahtliku reklaami ja Telegrami robotite kaudu, mis automatiseerivad ohvritega suhtlemist.
Esimese meetodi puhul suunatakse ohvrid võltsitud Google Play lehtedele, millel kuvatakse ülepaisutatud allalaadimisnumbreid, et näida õigustatud ja võita ohvri usaldus.
Telegramis pakuvad robotid Androidi piraatrakendusi ja küsivad enne APK-faili esitamist ohvri telefoninumbrit. Seda numbrit kasutab robot kohandatud APK loomiseks, mis võimaldab isikupärastatud jälgimist või tulevasi rünnakuid.
Operatsioon tugineb umbes 2600 Telegrami robotile, et levitada erinevaid Androidi APK-sid, mida kõiki haldab 13 Command-and-Control (C2) serverit. Suurem osa haigestunutest on Indias ja Venemaal, kuigi märkimisväärsetest arvudest on teatatud ka Brasiiliast, Mehhikost ja Ameerika Ühendriikidest.
Kuidas ohunäitlejad ohvritelt raha teenivad
Pahavara saadab pealtkuulatud SMS-sõnumid API lõpp-punkti veebisaidil „fastsms.su”. See sait pakub erinevatest riikidest pärit "virtuaalseid" telefoninumbreid, mida kasutajad saavad osta anonüümsuse tagamiseks ja veebiplatvormidel autentimiseks. On väga tõenäoline, et see teenus kasutab ohustatud seadmeid ilma ohvrite teadmata. Pahavara kasutab talle Android-seadmetes antud SMS-i juurdepääsuõigusi, et hõivata konto registreerimiseks ja kahefaktoriliseks autentimiseks vajalikke OTP-sid.
Ohvrite jaoks võib see kaasa tuua volitamata tasusid nende mobiilikontodel ja võimaliku seotuse ebaseadusliku tegevusega, mille põhjuseks on nende seadme ja telefoninumber. Telefoninumbri väärkasutuse eest kaitsmiseks vältige APK-failide allalaadimist allikatest väljaspool Google Playd, hoiduge mittevajalike lubade andmisest mitteseotud funktsioonidega rakendustele ja veenduge, et Play Protect oleks teie seadmes lubatud.
SMS-i varguse operatsiooni rünnakuvoog
Ohvrit meelitatakse installima petturlikku rakendust eksitavate reklaamidega, mis imiteerivad seaduslikke rakenduste poode, või automaatsete Telegrami robotite kaudu, mis suhtlevad otse sihtmärgiga (üksikasjad allpool).
Loataotlused – juurdepääsu saamine
Pärast installimist taotleb petturlik rakendus SMS-i lugemisõigusi, mis on Androidi kõrge riskiga funktsioon, mis võimaldab juurdepääsu tundlikele isikuandmetele. Kuigi seaduslikud rakendused võivad teatud funktsioonide jaoks vajada SMS-i lube, on selle rakenduse taotlus loodud ohvri privaatsete tekstsõnumite kogumiseks.
Käsu- ja juhtimisserveri otsimine – kapteni poole pöördumine
Seejärel loob oht ühenduse oma juhtimis- ja juhtimisserveriga, mis juhib selle toiminguid ja kogub kogutud andmeid. Algselt kasutas pahavara C&C serveri aadressi hankimiseks Firebase'i, kuid sellest ajast alates on see arenenud Githubi hoidlatesse või aadressi otse rakendusse manustamiseks.
C&C kommunikatsioon – aruandlus ja andmete üleslaadimine
Pärast C&C serveri aadressi turvamist loob nakatunud seade sellega ühenduse. Sellel on kaks eesmärki: 1) pahavara teavitab serverit oma aktiivsest olekust ja 2) loob kanali varastatud SMS-sõnumite, sealhulgas väärtuslike OTP-koodide saatmiseks.
OTP saagikoristus – varjatud koguja
Viimases etapis jälgib pahavara vaikselt sissetulevaid SMS-sõnumeid, keskendudes võrgukonto kinnitamiseks kasutatavate OTP-de pealtkuulamisele, jäädes samas avastamata.
