SMS Stealer Mobile -haittaohjelma
Android-laitteisiin suunnattu maailmanlaajuinen kyberhyökkäys käyttää tuhansia Telegram-botteja, jotka levittävät tekstiviestejä varastavia haittaohjelmia ja kaappaavat kertaluonteisia 2FA-salasanoita (OTP) yli 600 palveluun. Tutkijat ovat seuranneet tätä toimintaa helmikuusta 2022 lähtien ja ovat tunnistaneet ainakin 107 000 ainutlaatuista kampanjaan liittyvää haittaohjelmanäytettä. Hyökkääjät näyttävät saaneen aikaan taloudellisia kannustimia, jotka todennäköisesti käyttävät vaarantuneita laitteita todennuksen helpottamiseen ja anonymiteetin parantamiseen.
Sisällysluettelo
Tuhannet Telegram-botit levittävät SMS Stealer -haittaohjelmaa
SMS-varastavat haittaohjelmat leviävät kahdella päämenetelmällä: haittaohjelmilla ja Telegram-botteilla, jotka automatisoivat viestintää uhrien kanssa.
Ensimmäisessä menetelmässä uhrit ohjataan väärennetyille Google Play -sivuille, jotka näyttävät paisutettuja latausnumeroita näyttääkseen laillisilta ja saadakseen uhrin luottamuksen.
Telegramissa robotit tarjoavat laittomasti Android-sovelluksia ja pyytävät uhrin puhelinnumeroa ennen APK-tiedoston toimittamista. Botti käyttää tätä numeroa mukautetun APK:n luomiseen, mikä mahdollistaa personoidun seurannan tai tulevat hyökkäykset.
Toiminta perustuu noin 2 600 Telegram-bottiin erilaisten Android APK:iden jakamiseen, joita kaikkia hallinnoi 13 Command-and-Control (C2) -palvelinta. Suurin osa sairastuneista on Intiassa ja Venäjällä, vaikka merkittäviä määriä on raportoitu myös Brasiliassa, Meksikossa ja Yhdysvalloissa.
Kuinka uhkatoimijat keräävät varoja uhreilta
Haittaohjelma lähettää siepatut tekstiviestit API-päätepisteeseen sivustolla "fastsms.su". Tämä sivusto tarjoaa "virtuaalisia" puhelinnumeroita eri maista, joita käyttäjät voivat ostaa nimettömänä ja todentaakseen online-alustoilla. On erittäin todennäköistä, että tämä palvelu käyttää vaarantuneita laitteita uhrien tietämättä. Haittaohjelma hyödyntää sille Android-laitteissa myönnettyjä tekstiviestien käyttöoikeuksia kaapatakseen OTP:t, joita tarvitaan tilin rekisteröintiin ja kaksivaiheiseen todentamiseen.
Uhreille tämä voi johtaa luvattomiin veloituksiin heidän mobiilitileillään ja mahdollisiin laittomiin toimiin, jotka voidaan jäljittää heidän laitteestaan ja puhelinnumeronsa. Suojautuaksesi puhelinnumeron väärinkäytöltä vältä APK-tiedostojen lataamista Google Playn ulkopuolisista lähteistä, älä myönnä tarpeettomia käyttöoikeuksia sovelluksille, joilla on asiaankuulumattomia toimintoja, ja varmista, että Play Protect on käytössä laitteessasi.
SMS Stealer -operaation hyökkäysvirta
Uhri houkutellaan asentamaan petollinen sovellus harhaanjohtavilla mainoksilla, jotka jäljittelevät laillisia sovelluskauppoja, tai automaattisten Telegram-bottien avulla, jotka ovat vuorovaikutuksessa suoraan kohteen kanssa (tiedot alla).
Lupapyynnöt – pääsyn saaminen
Asennuksen jälkeen petollinen sovellus pyytää tekstiviestien lukuoikeuksia, Androidin korkean riskin ominaisuus, joka mahdollistaa pääsyn arkaluontoisiin henkilötietoihin. Vaikka lailliset sovellukset saattavat tarvita tekstiviestilupia tiettyjä toimintoja varten, tämän sovelluksen pyyntö on suunniteltu keräämään uhrin yksityiset tekstiviestit.
Komento- ja ohjauspalvelimen haku – Yhteyden ottaminen isännöitsijään
Uhka muodostaa sitten yhteyden Command and Control (C&C) -palvelimeensa, joka ohjaa sen toimintaa ja kerää kerätyt tiedot. Aluksi haittaohjelma käytti Firebasea saadakseen C&C-palvelimen osoitteen, mutta on sittemmin kehittynyt käyttämään Github-tietovarastoja tai upottamaan osoitteen suoraan sovellukseen.
C&C Communication – Raportointi ja tietojen lähettäminen
Kun C&C-palvelimen osoite on suojattu, tartunnan saanut laite muodostaa yhteyden siihen. Tällä on kaksi tarkoitusta: 1) haittaohjelma ilmoittaa palvelimelle aktiivisesta tilastaan ja 2) se luo kanavan varastettujen tekstiviestien lähettämiseen, mukaan lukien arvokkaat OTP-koodit.
OTP Harvesting – peitelty keräilijä
Viimeisessä vaiheessa haittaohjelma tarkkailee saapuvia tekstiviestejä hiljaa ja keskittyy sieppaamaan online-tilin varmentamiseen käytettyjä OTP:itä, mutta jää huomaamatta.
