SMS Stealer mobilā ļaunprogrammatūra
Globālā kiberuzbrukumā, kas vērsts pret Android ierīcēm, tiek izmantoti tūkstošiem Telegram robotu, lai izplatītu SMS zagšanas ļaunprogrammatūru un iegūtu vienreizējas 2FA paroles (OTP) vairāk nekā 600 pakalpojumiem. Pētnieki ir uzraudzījuši šo darbību kopš 2022. gada februāra un ir identificējuši vismaz 107 000 unikālu ļaunprātīgas programmatūras paraugu, kas saistīti ar kampaņu. Šķiet, ka uzbrucējus virza finansiāli stimuli, iespējams, viņi izmanto uzlauztās ierīces, lai atvieglotu autentifikāciju un uzlabotu anonimitāti.
Satura rādītājs
Tūkstošiem Telegram robotu izplata SMS Stealer ļaunprogrammatūru
SMS zagšanas ļaunprogrammatūra tiek izplatīta, izmantojot divas galvenās metodes: ļaunprātīgu reklamēšanu un Telegram robotprogrammatūras, kas automatizē saziņu ar upuriem.
Pirmajā paņēmienā upuri tiek novirzīti uz viltotām Google Play lapām, kurās tiek parādīti palielināti lejupielādes numuri, lai tie izskatītos likumīgi un iegūtu upura uzticību.
Vietnē Telegram robotprogrammatūra piedāvā pirātiskas Android lietojumprogrammas un pirms APK faila iesniegšanas pieprasa upura tālruņa numuru. Šo numuru robots izmanto, lai izveidotu pielāgotu APK, kas nodrošina personalizētu izsekošanu vai turpmākus uzbrukumus.
Darbības pamatā ir aptuveni 2600 Telegram robotprogrammatūras, lai izplatītu dažādus Android APK, un tos visus pārvalda 13 Command-and-Control (C2) serveri. Lielākā daļa skarto personu ir Indijā un Krievijā, lai gan par ievērojamu skaitu ziņots arī Brazīlijā, Meksikā un Amerikas Savienotajās Valstīs.
Kā draudu dalībnieki gūst līdzekļus no upuriem
Ļaunprātīga programmatūra nosūta pārtvertās SMS ziņas uz API galapunktu vietnē “fastsms.su”. Šī vietne piedāvā “virtuālus” tālruņu numurus no dažādām valstīm, kurus lietotāji var iegādāties anonimitātes nodrošināšanai un autentifikācijai tiešsaistes platformās. Ļoti iespējams, ka uzlauztās ierīces šis pakalpojums izmanto bez upuru ziņas. Ļaunprātīga programmatūra izmanto tai piešķirtās SMS piekļuves atļaujas Android ierīcēs, lai tvertu OTP, kas nepieciešamas konta reģistrācijai un divu faktoru autentifikācijai.
Cietušajiem tas var izraisīt nesankcionētu maksas iekasēšanu viņu mobilo sakaru kontos un iespējamu iesaistīšanos nelikumīgās darbībās, kas tiek izsekotas viņu ierīcē un tālruņa numurā. Lai aizsargātu pret tālruņa numura ļaunprātīgu izmantošanu, izvairieties no APK failu lejupielādes no avotiem ārpus pakalpojuma Google Play, nepiešķiriet nevajadzīgas atļaujas lietotnēm ar nesaistītām funkcijām un pārliecinieties, ka jūsu ierīcē ir iespējots Play Protect.
SMS zagšanas operācijas uzbrukuma plūsma
Upuris tiek pievilināts instalēt krāpniecisku lietojumprogrammu, izmantojot maldinošas reklāmas, kas imitē likumīgus lietotņu veikalus, vai automatizētas Telegram robotprogrammatūras, kas tieši mijiedarbojas ar mērķi (sīkāka informācija tālāk).
Atļauju pieprasījumi — piekļuves iegūšana
Pēc instalēšanas krāpnieciskā lietojumprogramma pieprasa SMS lasīšanas atļaujas — augsta riska funkcija operētājsistēmā Android, kas ļauj piekļūt sensitīviem personas datiem. Lai gan likumīgām lietotnēm var būt nepieciešamas SMS atļaujas noteiktām funkcijām, šīs lietotnes pieprasījums ir paredzēts upura privāto īsziņu iegūšanai.
Komandu un kontroles servera izguve — sazināšanās ar meistaru
Pēc tam draudi izveido savienojumu ar savu komandu un kontroles (C&C) serveri, kas vada tā darbību un apkopo savāktos datus. Sākotnēji ļaunprogrammatūra izmantoja Firebase, lai iegūtu C&C servera adresi, taču kopš tā laika tā ir attīstījusies, lai izmantotu Github repozitorijus vai iegultu adresi tieši lietotnē.
C&C komunikācija — ziņošana un datu augšupielāde
Pēc C&C servera adreses nodrošināšanas inficētā ierīce izveido savienojumu ar to. Tas kalpo diviem mērķiem: 1) ļaunprogrammatūra paziņo serverim par savu aktīvo statusu un 2) tā izveido kanālu zagtu SMS ziņojumu, tostarp vērtīgu OTP kodu, sūtīšanai.
OTP ražas novākšana — slēptais kolekcionārs
Pēdējā fāzē ļaunprogrammatūra klusi uzrauga ienākošās SMS ziņas, koncentrējoties uz OTP pārtveršanu, kas tiek izmantota tiešsaistes konta verifikācijai, vienlaikus paliekot neatklāta.
