SMS Stealer Mobile Malware

یک حمله سایبری جهانی با هدف دستگاه‌های اندرویدی، از هزاران ربات تلگرام برای گسترش بدافزار سرقت پیامک و گرفتن رمزهای عبور یکبار مصرف 2FA (OTP) برای بیش از 600 سرویس استفاده می‌کند. محققان از فوریه 2022 این عملیات را زیر نظر گرفته اند و حداقل 107000 نمونه بدافزار منحصر به فرد مرتبط با کمپین را شناسایی کرده اند. به نظر می رسد که مهاجمان با انگیزه های مالی هدایت می شوند و احتمالاً از دستگاه های در معرض خطر برای تسهیل احراز هویت و افزایش ناشناس بودن استفاده می کنند.

هزاران ربات تلگرام بدافزار سرقت پیامک را پخش می کنند

بدافزار سرقت پیامک از دو روش اصلی پخش می‌شود: تبلیغات بد و ربات‌های تلگرام که ارتباط با قربانیان را خودکار می‌کنند.

در روش اول، قربانیان به صفحات جعلی Google Play هدایت می‌شوند که اعداد دانلود متورم را نمایش می‌دهند تا قانونی به نظر برسند و اعتماد قربانی را جلب کنند.

در تلگرام، ربات‌ها برنامه‌های اندروید دزدی را ارائه می‌کنند و قبل از ارائه فایل APK، شماره تلفن قربانی را درخواست می‌کنند. این شماره توسط ربات برای ایجاد یک APK سفارشی استفاده می شود و امکان ردیابی شخصی یا حملات آینده را فراهم می کند.

این عملیات متکی به تقریباً 2600 ربات تلگرام برای توزیع فایل‌های APK مختلف اندروید است که همگی توسط 13 سرور Command-and-Control (C2) مدیریت می‌شوند. اکثر افراد مبتلا در هند و روسیه هستند، اگرچه تعداد قابل توجهی نیز در برزیل، مکزیک و ایالات متحده گزارش شده است.

چگونه بازیگران تهدید از قربانیان بودجه تولید می کنند

این بدافزار پیامک های رهگیری شده را به یک نقطه پایانی API در وب سایت 'fastsms.su' ارسال می کند. این سایت شماره‌های تلفن مجازی را از کشورهای مختلف ارائه می‌کند که کاربران می‌توانند برای ناشناس ماندن و احراز هویت در پلتفرم‌های آنلاین خریداری کنند. این احتمال وجود دارد که دستگاه های در معرض خطر بدون اطلاع قربانیان توسط این سرویس استفاده شود. این بدافزار از مجوزهای دسترسی پیامکی که در دستگاه‌های اندرویدی به آن اعطا می‌شود، استفاده می‌کند تا OTP‌های مورد نیاز برای ثبت حساب و احراز هویت دو مرحله‌ای را بگیرد.

برای قربانیان، این می‌تواند منجر به هزینه‌های غیرمجاز از حساب‌های تلفن همراه آنها و مشارکت احتمالی در فعالیت‌های غیرقانونی شود که به دستگاه و شماره تلفن آنها بازمی‌گردد. برای محافظت در برابر سوء استفاده از شماره تلفن، از دانلود فایل‌های APK از منابع خارج از Google Play خودداری کنید، از دادن مجوزهای غیرضروری به برنامه‌هایی با عملکردهای نامرتبط خودداری کنید و مطمئن شوید که Play Protect در دستگاه شما فعال است.

جریان حمله عملیات دزد پیامک

قربانی از طریق تبلیغات گمراه‌کننده که از فروشگاه‌های نرم‌افزار قانونی تقلید می‌کنند یا از طریق ربات‌های تلگرام خودکار که مستقیماً با هدف تعامل دارند، به سمت نصب یک برنامه تقلبی فریب می‌خورد (جزئیات زیر).

درخواست‌های مجوز - دسترسی به دسترسی

پس از نصب، برنامه تقلبی مجوز خواندن پیامک را درخواست می کند، یک ویژگی پرخطر در اندروید که امکان دسترسی به داده های شخصی حساس را فراهم می کند. در حالی که برنامه های قانونی ممکن است برای عملکردهای خاص به مجوزهای پیامک نیاز داشته باشند، درخواست این برنامه برای برداشت پیام های متنی خصوصی قربانی طراحی شده است.

بازیابی سرور فرمان و کنترل - تماس با استاد

سپس تهدید به سرور Command and Control (C&C) متصل می شود که عملیات آن را هدایت می کند و داده های جمع آوری شده را جمع آوری می کند. در ابتدا، بدافزار از Firebase برای به دست آوردن آدرس سرور C&C استفاده می‌کرد، اما از آن زمان برای استفاده از مخازن Github یا جاسازی آدرس مستقیماً در برنامه تکامل یافته است.

ارتباطات C&C - گزارش در و آپلود داده ها

پس از ایمن سازی آدرس سرور C&C، دستگاه آلوده با آن ارتباط برقرار می کند. این دو هدف را دنبال می کند: 1) بدافزار وضعیت فعال خود را به سرور اطلاع می دهد و 2) کانالی را برای ارسال پیامک های دزدیده شده از جمله کدهای OTP با ارزش ایجاد می کند.

برداشت OTP - جمع آوری پنهان

در مرحله آخر، بدافزار به‌طور بی‌صدا پیام‌های SMS دریافتی را نظارت می‌کند و بر روی رهگیری OTP‌های مورد استفاده برای تأیید حساب آنلاین تمرکز می‌کند و در عین حال ناشناخته باقی می‌ماند.