SMS Stealer Mobile Malware
Az Android-eszközöket célzó globális kibertámadás több ezer Telegram-botot alkalmaz SMS-lopó rosszindulatú programok terjesztésére és egyszeri 2FA jelszavak (OTP) rögzítésére több mint 600 szolgáltatáshoz. A kutatók 2022 februárja óta figyelik ezt a műveletet, és legalább 107 000 egyedi, a kampányhoz kapcsolódó rosszindulatú programmintát azonosítottak. Úgy tűnik, hogy a támadókat pénzügyi ösztönzők vezérlik, valószínűleg a feltört eszközöket használják a hitelesítés megkönnyítésére és az anonimitás fokozására.
Tartalomjegyzék
Telegram robotok ezrei terjesztik az SMS Stealer rosszindulatú programját
Az SMS-lopó rosszindulatú program két fő módszerrel terjed: rosszindulatú reklámozással és Telegram-botokkal, amelyek automatizálják az áldozatokkal való kommunikációt.
Az első módszer szerint az áldozatokat hamis Google Play-oldalakra irányítják, amelyek túlzott letöltési számokat jelenítenek meg, hogy legitimnek tűnjenek, és megnyerjék az áldozat bizalmát.
A Telegramon a botok kalóz Android-alkalmazásokat kínálnak, és az APK-fájl megadása előtt kérik az áldozat telefonszámát. Ezt a számot használja a bot egy személyre szabott APK létrehozásához, amely lehetővé teszi a személyre szabott nyomon követést vagy a jövőbeni támadásokat.
A művelet körülbelül 2600 Telegram botra támaszkodik a különböző Android APK-k terjesztéséhez, amelyek mindegyikét 13 Command-and-Control (C2) szerver kezeli. Az érintettek többsége Indiában és Oroszországban van, bár jelentős számokat jelentettek Brazíliában, Mexikóban és az Egyesült Államokban is.
Hogyan hoznak létre pénzt a fenyegetés szereplői az áldozatoktól
A rosszindulatú program az elfogott SMS-eket egy API-végpontra küldi a „fastsms.su” webhelyen. Ez az oldal különféle országokból származó „virtuális” telefonszámokat kínál, amelyeket a felhasználók anonimitás és online platformokon történő hitelesítés céljából megvásárolhatnak. Nagy a valószínűsége annak, hogy a feltört eszközöket az áldozatok tudta nélkül használja ez a szolgáltatás. A rosszindulatú program az Android-eszközökön kapott SMS-hozzáférési engedélyeket használja fel a fiókregisztrációhoz és a kéttényezős hitelesítéshez szükséges OTP-k rögzítéséhez.
Az áldozatok számára ez jogosulatlan terheléseket vonhat maga után mobilfiókjukon, és esetlegesen illegális tevékenységekben való részvételt okozhat, amelyet eszközükre és telefonszámukra vezethető vissza. A telefonszámmal való visszaélés elleni védelem érdekében kerülje az APK-fájlok letöltését a Google Playen kívüli forrásokból, tartózkodjon attól, hogy szükségtelen engedélyeket adjon a nem kapcsolódó funkciókkal rendelkező alkalmazásoknak, és ellenőrizze, hogy a Play Protect engedélyezve van-e az eszközön.
Az SMS-lopó művelet támadási folyamata
Az áldozatot csalárd alkalmazás telepítésére csábítják félrevezető hirdetésekkel, amelyek legitim alkalmazásboltokat imitálnak, vagy olyan automatizált Telegram-robotokkal, amelyek közvetlenül kapcsolatba lépnek a célponttal (részletek lent).
Engedélykérés – Hozzáférés megszerzése
A telepítést követően a csaló alkalmazás SMS-olvasási engedélyt kér, amely az Android magas kockázatú funkciója, amely lehetővé teszi a bizalmas személyes adatok elérését. Bár a legális alkalmazásoknak SMS-engedélyekre lehet szükségük bizonyos funkciókhoz, ennek az alkalmazásnak a kérése az áldozat privát szöveges üzeneteinek összegyűjtésére szolgál.
Command & Control Server Retrieval – Kapcsolatfelvétel a Mesterrel
A fenyegetés ezután csatlakozik a Command and Control (C&C) szerveréhez, amely irányítja a műveleteket és összegyűjti az összegyűjtött adatokat. Kezdetben a rosszindulatú program a Firebase-t használta a C&C-szerver címének megszerzésére, de azóta a Github-tárolók használatára vagy a cím közvetlen alkalmazásba ágyazására fejlődött.
C&C kommunikáció – Jelentéstétel és adatok feltöltése
A C&C szerver címének biztonságossá tétele után a fertőzött eszköz kapcsolatot létesít vele. Ez két célt szolgál: 1) a kártevő értesíti a szervert az aktív állapotáról, és 2) létrehoz egy csatornát az ellopott SMS-ek küldésére, beleértve az értékes OTP kódokat.
OTP Harvesting – A titkos gyűjtő
Az utolsó fázisban a kártevő csendben figyeli a bejövő SMS-eket, és az online fiókellenőrzésre használt OTP-k elfogására összpontosít, miközben észrevétlen marad.
