SMS Stealer Mobile Malware
Globalni kibernetički napad usmjeren na Android uređaje koristi tisuće Telegram botova za širenje zlonamjernog softvera za krađu SMS-ova i hvatanje jednokratnih 2FA lozinki (OTP) za više od 600 usluga. Istraživači prate ovu operaciju od veljače 2022. i identificirali su najmanje 107.000 jedinstvenih uzoraka zlonamjernog softvera povezanih s kampanjom. Čini se da su napadači vođeni financijskim poticajima, vjerojatno koristeći kompromitirane uređaje za olakšavanje autentifikacije i povećanje anonimnosti.
Sadržaj
Tisuće Telegram botova šire zlonamjerni softver SMS Stealer
Zlonamjerni softver za krađu SMS-ova širi se kroz dvije glavne metode: zlonamjerno oglašavanje i Telegram botovi koji automatiziraju komunikaciju sa žrtvama.
U prvoj metodi, žrtve se usmjeravaju na lažne Google Play stranice, koje prikazuju napuhane brojeve preuzimanja kako bi izgledale legitimne i pridobile povjerenje žrtve.
Na Telegramu botovi nude piratske Android aplikacije i traže telefonski broj žrtve prije nego što daju APK datoteku. Ovaj broj koristi bot za izradu prilagođenog APK-a, omogućavajući personalizirano praćenje ili buduće napade.
Operacija se oslanja na približno 2600 Telegram botova za distribuciju raznih Android APK-ova, a svima njima upravlja 13 Command-and-Control (C2) poslužitelja. Većina zaraženih pojedinaca nalazi se u Indiji i Rusiji, iako je značajan broj zabilježen i u Brazilu, Meksiku i Sjedinjenim Državama.
Kako akteri prijetnje generiraju sredstva od žrtava
Zlonamjerni softver šalje presretnute SMS poruke krajnjoj točki API-ja na web stranici 'fastsms.su'. Ova stranica nudi 'virtualne' telefonske brojeve iz raznih zemalja, koje korisnici mogu kupiti radi anonimnosti i autentifikacije na internetskim platformama. Vrlo je vjerojatno da ova usluga koristi kompromitirane uređaje bez znanja žrtava. Zlonamjerni softver iskorištava dopuštenja pristupa SMS-u koja su mu dodijeljena na Android uređajima za snimanje OTP-ova potrebnih za registracije računa i dvofaktorsku autentifikaciju.
Za žrtve to može rezultirati neovlaštenim terećenjima njihovih mobilnih računa i potencijalnom upletenošću u nezakonite aktivnosti koje se mogu pratiti na njihovom uređaju i telefonskom broju. Kako biste se zaštitili od zlouporabe telefonskog broja, izbjegavajte preuzimanje APK datoteka iz izvora izvan Google Playa, suzdržite se od davanja nepotrebnih dozvola aplikacijama s nepovezanim funkcijama i provjerite je li Play Protect omogućen na vašem uređaju.
Tijek napada operacije SMS Stealer
Žrtva je namamljena da instalira lažnu aplikaciju putem obmanjujućih oglasa koji oponašaju legitimne trgovine aplikacija ili putem automatiziranih Telegram botova koji izravno komuniciraju s metom (pojedinosti u nastavku).
Zahtjevi za dopuštenje – dobivanje pristupa
Jednom instalirana, lažna aplikacija zahtijeva dopuštenja za čitanje SMS-a, visokorizičnu značajku na Androidu koja omogućuje pristup osjetljivim osobnim podacima. Dok legitimne aplikacije mogu trebati dopuštenja za SMS za određene funkcije, zahtjev ove aplikacije osmišljen je za prikupljanje privatnih tekstualnih poruka žrtve.
Dohvaćanje poslužitelja za upravljanje i kontrolu – kontaktiranje glavnog
Prijetnja se zatim povezuje sa svojim poslužiteljem za upravljanje i kontrolu (C&C), koji usmjerava njezine operacije i prikuplja prikupljene podatke. U početku je zlonamjerni softver koristio Firebase za dobivanje adrese C&C poslužitelja, ali je od tada evoluirao da koristi Github repozitorije ili ugradi adresu izravno u aplikaciju.
C&C komunikacija – izvješćivanje i učitavanje podataka
Nakon što osigura adresu C&C poslužitelja, zaraženi uređaj uspostavlja vezu s njim. Ovo ima dvije svrhe: 1) zlonamjerni softver obavještava poslužitelj o svom aktivnom statusu i 2) stvara kanal za slanje ukradenih SMS poruka, uključujući vrijedne OTP kodove.
OTP žetva – prikriveni sakupljač
U završnoj fazi, zlonamjerni softver tiho nadzire dolazne SMS poruke, fokusirajući se na presretanje OTP-ova koji se koriste za online provjeru računa, a pritom ostaje neotkriven.
