תוכנת זדונית ניידת SMS Stealer
מתקפת סייבר גלובלית המכוונת למכשירי אנדרואיד מעסיקה אלפי בוטים של טלגרם כדי להפיץ תוכנות זדוניות גונבות SMS וללכוד סיסמאות 2FA חד פעמיות (OTP) עבור למעלה מ-600 שירותים. חוקרים עוקבים אחר הפעולה הזו מאז פברואר 2022 וזיהו לפחות 107,000 דגימות תוכנות זדוניות ייחודיות המקושרות לקמפיין. נראה שהתוקפים מונעים על ידי תמריצים כספיים, ככל הנראה משתמשים במכשירים שנפגעו כדי להקל על האימות ולשפר את האנונימיות.
תוכן העניינים
אלפי בוטים של טלגרם הפיצו את התוכנה הזדונית של גניבת ה-SMS
התוכנה הזדונית גונבת ה-SMS מופצת באמצעות שתי שיטות עיקריות: התעללות ובבוטים של טלגרם שממכנים את התקשורת עם הקורבנות.
בשיטה הראשונה, הקורבנות מופנים לדפי Google Play מזויפים, המציגים מספרי הורדה מנופחים כדי להיראות לגיטימיים ולרכוש את אמון הקורבן.
בטלגרם, הבוטים מציעים יישומי אנדרואיד פיראטיים ומבקשים את מספר הטלפון של הקורבן לפני מתן קובץ ה-APK. מספר זה משמש את הבוט ליצירת APK מותאם אישית, המאפשר מעקב מותאם אישית או התקפות עתידיות.
הפעולה מסתמכת על כ-2,600 בוטים של טלגרם כדי להפיץ חבילות APK שונות של אנדרואיד, כולם מנוהלים על ידי 13 שרתי Command-and-Control (C2). רוב האנשים שנפגעו נמצאים בהודו וברוסיה, אם כי מספרים משמעותיים מדווחים גם בברזיל, מקסיקו וארצות הברית.
כיצד שחקני איום מייצרים כספים מקורבנות
התוכנה הזדונית שולחת את הודעות ה-SMS שיירטו לנקודת קצה של API באתר 'fastsms.su'. אתר זה מציע מספרי טלפון 'וירטואליים' ממדינות שונות, שמשתמשים יכולים לרכוש לשם אנונימיות ולאימות בפלטפורמות מקוונות. סביר מאוד שהמכשירים שנפגעו נמצאים בשימוש על ידי שירות זה ללא ידיעת הקורבנות. התוכנה הזדונית ממנפת את הרשאות הגישה ל-SMS שניתנו לה במכשירי אנדרואיד כדי ללכוד OTPs הדרושים לרישום חשבון ואימות דו-גורמי.
עבור קורבנות, הדבר עלול לגרום להאשמות לא מורשות בחשבונות הנייד שלהם ולמעורבות פוטנציאלית בפעילויות לא חוקיות, שמקורן במכשיר ומספר הטלפון שלהם. כדי להגן מפני שימוש לרעה במספר טלפון, הימנע מהורדת קובצי APK ממקורות מחוץ ל-Google Play, הימנע מהענקת הרשאות מיותרות לאפליקציות עם פונקציות לא קשורות, וודא ש-Play Protect מופעל במכשיר שלך.
זרימת ההתקפה של מבצע גניבת ה-SMS
הקורבן מפתה להתקין יישום הונאה באמצעות פרסומות מטעות המחקות חנויות אפליקציות לגיטימיות או באמצעות בוטים אוטומטיים של טלגרם המקיימים אינטראקציה ישירה עם המטרה (פרטים בהמשך).
בקשות הרשאה - השגת גישה
לאחר ההתקנה, האפליקציה הונאה מבקשת הרשאות קריאה ב-SMS, תכונה בסיכון גבוה באנדרואיד המאפשרת גישה לנתונים אישיים רגישים. בעוד שאפליקציות לגיטימיות עשויות להזדקק להרשאות SMS עבור פונקציות ספציפיות, הבקשה של אפליקציה זו נועדה לאסוף את הודעות הטקסט הפרטיות של הקורבן.
אחזור שרת פיקוד ובקרה - יצירת קשר עם המאסטר
לאחר מכן, האיום מתחבר לשרת הפיקוד והבקרה שלו (C&C), שמכוון את פעולותיו ואוסוף את הנתונים שנאספו. בתחילה, התוכנה הזדונית השתמשה ב-Firebase כדי להשיג את כתובת שרת C&C, אך מאז התפתחה לשימוש במאגרי Github או להטמיע את הכתובת ישירות בתוך האפליקציה.
C&C Communication - דיווח ב- והעלאת נתונים
לאחר אבטחת כתובת שרת C&C, המכשיר הנגוע יוצר חיבור אליו. זה משרת שתי מטרות: 1) התוכנה הזדונית מודיעה לשרת על המצב הפעיל שלה, ו-2) היא יוצרת ערוץ לשליחת הודעות SMS גנובות, כולל קודי OTP יקרי ערך.
OTP Harvesting - האספן הסמוי
בשלב האחרון, התוכנה הזדונית עוקבת בשקט אחר הודעות SMS נכנסות, תוך התמקדות ביירוט נקודות OTP המשמשות לאימות חשבון מקוון, תוך שהיא לא מזוהה.
