Malware mobile che ruba SMS
Un attacco informatico globale rivolto ai dispositivi Android impiega migliaia di bot di Telegram per diffondere malware che rubano SMS e acquisire password 2FA (OTP) monouso per oltre 600 servizi. I ricercatori monitorano questa operazione dal febbraio 2022 e hanno identificato almeno 107.000 campioni di malware unici collegati alla campagna. Sembra che gli aggressori siano spinti da incentivi finanziari e probabilmente utilizzino i dispositivi compromessi per facilitare l'autenticazione e migliorare l'anonimato.
Sommario
Migliaia di bot di Telegram diffondono il malware SMS Stealer
Il malware che ruba SMS si diffonde attraverso due metodi principali: malvertising e bot di Telegram che automatizzano la comunicazione con le vittime.
Nel primo metodo, le vittime vengono indirizzate a pagine false di Google Play, che mostrano numeri di download gonfiati per apparire legittime e guadagnare la fiducia della vittima.
Su Telegram i bot offrono applicazioni Android piratate e richiedono il numero di telefono della vittima prima di fornire il file APK. Questo numero viene utilizzato dal bot per creare un APK personalizzato, consentendo un tracciamento personalizzato o attacchi futuri.
L'operazione si affida a circa 2.600 bot di Telegram per distribuire vari APK Android, tutti gestiti da 13 server Command-and-Control (C2). La maggior parte delle persone colpite si trova in India e Russia, sebbene numeri significativi siano segnalati anche in Brasile, Messico e Stati Uniti.
Come gli autori delle minacce generano fondi dalle vittime
Il malware invia i messaggi SMS intercettati a un endpoint API sul sito web "fastsms.su". Questo sito offre numeri di telefono "virtuali" di vari paesi, che gli utenti possono acquistare per restare anonimi e autenticarsi sulle piattaforme online. È molto probabile che i dispositivi compromessi vengano utilizzati da questo servizio all'insaputa delle vittime. Il malware sfrutta le autorizzazioni di accesso agli SMS concesse sui dispositivi Android per acquisire le OTP necessarie per la registrazione degli account e l'autenticazione a due fattori.
Per le vittime, ciò può comportare addebiti non autorizzati sui loro conti mobili e un potenziale coinvolgimento in attività illegali riconducibili al loro dispositivo e numero di telefono. Per proteggerti dall'uso improprio del numero di telefono, evita di scaricare file APK da fonti esterne a Google Play, astieniti dal concedere autorizzazioni non necessarie ad app con funzioni non correlate e assicurati che Play Protect sia abilitato sul tuo dispositivo.
Il flusso di attacco dell'operazione SMS Stealer
La vittima viene indotta a installare un'applicazione fraudolenta attraverso pubblicità ingannevoli che imitano app store legittimi o tramite bot automatizzati di Telegram che interagiscono direttamente con il bersaglio (dettagli di seguito).
Richieste di autorizzazione: ottenere l'accesso
Una volta installata, l'applicazione fraudolenta richiede i permessi di lettura degli SMS, una funzionalità ad alto rischio su Android che consente l'accesso a dati personali sensibili. Anche se le app legittime potrebbero aver bisogno di autorizzazioni SMS per funzioni specifiche, la richiesta di questa app è progettata per raccogliere i messaggi di testo privati della vittima.
Recupero del server di comando e controllo: contattare il master
La minaccia si connette quindi al suo server di comando e controllo (C&C), che dirige le sue operazioni e raccoglie i dati raccolti. Inizialmente, il malware utilizzava Firebase per ottenere l'indirizzo del server C&C, ma da allora si è evoluto per utilizzare i repository Github o incorporare l'indirizzo direttamente nell'app.
Comunicazione C&C: reporting e caricamento dei dati
Dopo aver protetto l'indirizzo del server C&C, il dispositivo infetto stabilisce una connessione con esso. Ciò ha due scopi: 1) il malware notifica al server il suo stato attivo e 2) crea un canale per inviare messaggi SMS rubati, inclusi preziosi codici OTP.
Raccolta OTP: il collezionista nascosto
Nella fase finale, il malware monitora silenziosamente i messaggi SMS in arrivo, concentrandosi sull’intercettazione degli OTP utilizzati per la verifica dell’account online senza essere rilevato.
