SMS Stealer Mobile kenkėjiška programa
Pasaulinė kibernetinė ataka, nukreipta prieš „Android“ įrenginius, naudoja tūkstančius „Telegram“ robotų, kurie platina SMS vagiančias kenkėjiškas programas ir fiksuoja vienkartinius 2FA slaptažodžius (OTP) daugiau nei 600 paslaugų. Tyrėjai stebi šią operaciją nuo 2022 m. vasario mėn. ir nustatė mažiausiai 107 000 unikalių kenkėjiškų programų pavyzdžių, susijusių su kampanija. Panašu, kad užpuolikai buvo skatinami finansinių paskatų – jie greičiausiai naudoja pažeistus įrenginius, kad palengvintų autentifikavimą ir padidintų anonimiškumą.
Turinys
Tūkstančiai „Telegram“ robotų platina „SMS Stealer“ kenkėjišką programą
SMS vagianti kenkėjiška programa plinta dviem pagrindiniais būdais: kenkėjiška reklama ir „Telegram“ robotais, kurie automatizuoja ryšį su aukomis.
Pirmuoju būdu aukos nukreipiamos į netikrus „Google Play“ puslapius, kuriuose rodomi išpūsti atsisiuntimų numeriai, kad atrodytų teisėti ir įgytų aukos pasitikėjimą.
Telegramoje robotai siūlo piratines Android programas ir prieš pateikdami APK failą prašo aukos telefono numerio. Šį numerį naudoja robotas, kad sukurtų tinkintą APK, įgalinantį asmeninį stebėjimą arba būsimas atakas.
Operacija priklauso nuo maždaug 2600 „Telegram“ robotų, skirtų įvairiems „Android“ APK platinimui, kuriuos valdo 13 „Command-and-Control“ (C2) serverių. Dauguma nukentėjusių asmenų yra Indijoje ir Rusijoje, tačiau apie didelį skaičių pranešama ir Brazilijoje, Meksikoje ir JAV.
Kaip grėsmės veikėjai kaupia lėšas iš aukų
Kenkėjiška programa siunčia perimtus SMS pranešimus į API galutinį tašką svetainėje „fastsms.su“. Šioje svetainėje siūlomi „virtualūs“ telefonų numeriai iš įvairių šalių, kuriuos vartotojai gali įsigyti, kad būtų anonimiški ir patvirtintų tapatybę internetinėse platformose. Labai tikėtina, kad pažeistais įrenginiais ši tarnyba naudojasi be aukų žinios. Kenkėjiška programa naudoja jai „Android“ įrenginiuose suteiktus SMS prieigos leidimus, kad užfiksuotų vienkartinius slaptažodžius, reikalingus paskyros registracijai ir dviejų veiksnių autentifikavimui.
Dėl to aukoms gali būti taikomi neteisėti mokesčiai jų mobiliosiose paskyrose ir galimas dalyvavimas neteisėtoje veikloje, atsekamas pagal jų įrenginį ir telefono numerį. Kad apsisaugotumėte nuo netinkamo telefono numerio naudojimo, neatsisiųskite APK failų iš šaltinių, nepriklausančių „Google Play“, nesuteikite nereikalingų leidimų programoms su nesusijusiomis funkcijomis ir įsitikinkite, kad jūsų įrenginyje įgalinta „Play Protect“.
SMS vagių operacijos atakos srautas
Auka įviliojama įdiegti apgaulingą programą klaidinančiomis reklamomis, imituojančiomis teisėtas programų parduotuves, arba automatiniais „Telegram“ robotais, kurie tiesiogiai sąveikauja su taikiniu (išsami informacija pateikiama toliau).
Leidimų užklausos – prieigos gavimas
Įdiegta apgaulinga programa prašo SMS skaitymo leidimo – tai didelės rizikos „Android“ funkcija, leidžianti pasiekti neskelbtinus asmeninius duomenis. Nors teisėtoms programoms gali prireikti SMS leidimų tam tikroms funkcijoms, šios programos užklausa skirta aukos asmeniniams tekstiniams pranešimams surinkti.
Komandų ir valdymo serverio paieška – susisiekimas su meistru
Tada grėsmė prisijungia prie savo komandų ir valdymo (C&C) serverio, kuris vadovauja jo operacijoms ir renka surinktus duomenis. Iš pradžių kenkėjiška programa naudojo „Firebase“, kad gautų C&C serverio adresą, tačiau nuo to laiko ji pradėjo naudoti „Github“ saugyklas arba įterpti adresą tiesiai į programą.
C&C komunikacija – ataskaitų teikimas ir duomenų įkėlimas
Apsaugojęs C&C serverio adresą, užkrėstas įrenginys užmezga ryšį su juo. Tai atlieka du tikslus: 1) kenkėjiška programa praneša serveriui apie aktyvią būseną ir 2) sukuria kanalą pavogtoms SMS žinutėms, įskaitant vertingus OTP kodus, siųsti.
OTP derliaus nuėmimas – slaptas kolekcionierius
Paskutiniame etape kenkėjiška programa tyliai stebi gaunamus SMS pranešimus, daugiausia dėmesio skirdama vienkartinių slaptažodžių, naudojamų internetiniam paskyros patvirtinimui, perėmimui, o ne aptikta.
