Perisian Hasad Mudah Alih Pencuri SMS
Serangan siber global yang ditujukan kepada peranti Android menggunakan beribu-ribu bot Telegram untuk menyebarkan perisian hasad yang mencuri SMS dan menangkap kata laluan 2FA (OTP) sekali untuk lebih 600 perkhidmatan. Penyelidik telah memantau operasi ini sejak Februari 2022 dan telah mengenal pasti sekurang-kurangnya 107,000 sampel perisian hasad unik yang dikaitkan dengan kempen tersebut. Penyerang nampaknya didorong oleh insentif kewangan, mungkin menggunakan peranti yang terjejas untuk memudahkan pengesahan dan meningkatkan kerahsiaan.
Isi kandungan
Beribu-ribu Bot Telegram Menyebarkan Hasad Pencuri SMS
Malware yang mencuri SMS disebarkan melalui dua kaedah utama: malvertising dan bot Telegram yang mengautomasikan komunikasi dengan mangsa.
Dalam kaedah pertama, mangsa diarahkan ke halaman Google Play palsu, yang memaparkan nombor muat turun melambung untuk kelihatan sah dan mendapat kepercayaan mangsa.
Di Telegram, bot menawarkan aplikasi Android cetak rompak dan meminta nombor telefon mangsa sebelum memberikan fail APK. Nombor ini digunakan oleh bot untuk membuat APK tersuai, mendayakan penjejakan diperibadikan atau serangan masa hadapan.
Operasi ini bergantung pada kira-kira 2,600 bot Telegram untuk mengedarkan pelbagai APK Android, semuanya diuruskan oleh 13 pelayan Command-and-Control (C2). Majoriti individu yang terjejas berada di India dan Rusia, walaupun jumlah besar juga dilaporkan di Brazil, Mexico dan Amerika Syarikat.
Bagaimana Pelakon Ancaman Menjana Dana daripada Mangsa
Malware menghantar mesej SMS yang dipintas ke titik akhir API di tapak web 'fastsms.su.' Laman web ini menawarkan nombor telefon 'maya' dari pelbagai negara, yang boleh dibeli oleh pengguna untuk tidak mahu dikenali dan untuk mengesahkan pada platform dalam talian. Besar kemungkinan peranti yang terjejas digunakan oleh perkhidmatan ini tanpa pengetahuan mangsa. Perisian hasad memanfaatkan kebenaran akses SMS yang diberikan kepadanya pada peranti Android untuk menangkap OTP yang diperlukan untuk pendaftaran akaun dan pengesahan dua faktor.
Bagi mangsa, ini boleh mengakibatkan caj yang tidak dibenarkan pada akaun mudah alih mereka dan potensi penglibatan dalam aktiviti haram yang dikesan kembali ke peranti dan nombor telefon mereka. Untuk melindungi daripada penyalahgunaan nombor telefon, elakkan memuat turun fail APK daripada sumber di luar Google Play, elakkan daripada memberikan kebenaran yang tidak perlu kepada apl yang mempunyai fungsi yang tidak berkaitan dan pastikan Play Protect didayakan pada peranti anda.
Aliran Serangan Operasi Pencuri SMS
Mangsa terjebak untuk memasang aplikasi penipuan melalui iklan mengelirukan yang meniru kedai aplikasi yang sah atau melalui bot Telegram automatik yang berinteraksi secara langsung dengan sasaran (butiran di bawah).
Permintaan Kebenaran – Mendapat Akses
Setelah dipasang, aplikasi penipuan meminta kebenaran membaca SMS, ciri berisiko tinggi pada Android yang membenarkan akses kepada data peribadi yang sensitif. Walaupun apl yang sah mungkin memerlukan kebenaran SMS untuk fungsi tertentu, permintaan apl ini direka untuk mendapatkan mesej teks peribadi mangsa.
Pengambilan Pelayan Perintah & Kawalan – Menghubungi Master
Ancaman itu kemudiannya bersambung ke pelayan Perintah dan Kawalan (C&C), yang mengarahkan operasinya dan mengumpulkan data yang dikumpul. Pada mulanya, perisian hasad menggunakan Firebase untuk mendapatkan alamat pelayan C&C tetapi sejak itu telah berkembang untuk menggunakan repositori Github atau membenamkan alamat terus dalam apl.
Komunikasi C&C – Pelaporan Dalam & Memuat Naik Data
Selepas memastikan alamat pelayan C&C, peranti yang dijangkiti membuat sambungan kepadanya. Ini mempunyai dua tujuan: 1) perisian hasad memberitahu pelayan status aktifnya, dan 2) ia mencipta saluran untuk menghantar mesej SMS yang dicuri, termasuk kod OTP yang berharga.
OTP Harvesting – The Secret Collector
Pada fasa terakhir, perisian hasad memantau mesej SMS masuk secara senyap, memfokuskan pada memintas OTP yang digunakan untuk pengesahan akaun dalam talian sambil kekal tidak dapat dikesan.
