SMS Stealer Mobile Malware
Et globalt nettangrep rettet mot Android-enheter sysselsetter tusenvis av Telegram-roboter for å spre SMS-stjele malware og fange opp engangs 2FA-passord (OTP) for over 600 tjenester. Forskere har overvåket denne operasjonen siden februar 2022 og har identifisert minst 107 000 unike skadevareprøver knyttet til kampanjen. Angriperne ser ut til å være drevet av økonomiske insentiver, og bruker sannsynligvis de kompromitterte enhetene for å lette autentisering og forbedre anonymiteten.
Innholdsfortegnelse
Tusenvis av Telegram-bots sprer SMS Stealer-malware
Den SMS-stjele malware spres gjennom to hovedmetoder: malvertising og Telegram-roboter som automatiserer kommunikasjon med ofre.
I den første metoden blir ofre dirigert til falske Google Play-sider, som viser oppblåste nedlastingstall for å fremstå som legitime og få offerets tillit.
På Telegram tilbyr robotene piratkopierte Android-applikasjoner og ber om offerets telefonnummer før de oppgir APK-filen. Dette nummeret brukes av boten til å lage en tilpasset APK, som muliggjør personlig sporing eller fremtidige angrep.
Operasjonen er avhengig av omtrent 2600 Telegram-roboter for å distribuere forskjellige Android APK-er, alle administrert av 13 Command-and-Control (C2)-servere. Flertallet av berørte individer er i India og Russland, men betydelige tall er også rapportert i Brasil, Mexico og USA.
Hvordan trusselaktører genererer midler fra ofre
Skadevaren sender de avlyttede SMS-meldingene til et API-endepunkt på nettstedet 'fastsms.su.' Dette nettstedet tilbyr "virtuelle" telefonnumre fra forskjellige land, som brukere kan kjøpe for anonymitet og for å autentisere på nettplattformer. Det er høyst sannsynlig at de kompromitterte enhetene blir brukt av denne tjenesten uten ofrenes viten. Skadevaren utnytter SMS-tilgangstillatelsene som er gitt den på Android-enheter for å fange opp OTP-er som er nødvendige for kontoregistreringer og tofaktorautentisering.
For ofre kan dette føre til uautoriserte belastninger på mobilkontoene deres og potensiell involvering i ulovlige aktiviteter sporet tilbake til enheten og telefonnummeret deres. For å beskytte mot misbruk av telefonnummer, unngå å laste ned APK-filer fra kilder utenfor Google Play, avstå fra å gi unødvendige tillatelser til apper med ikke-relaterte funksjoner, og sørg for at Play Protect er aktivert på enheten din.
Angrepsflyten til SMS Stealer-operasjonen
Offeret blir lokket til å installere en uredelig applikasjon gjennom villedende annonser som imiterer legitime appbutikker eller via automatiserte Telegram-roboter som samhandler direkte med målet (detaljer nedenfor).
Tillatelsesforespørsler – Få tilgang
Når den er installert, ber den falske applikasjonen om SMS lesetillatelser, en høyrisikofunksjon på Android som gir tilgang til sensitive personopplysninger. Selv om legitime apper kan trenge SMS-tillatelser for spesifikke funksjoner, er denne appens forespørsel laget for å hente offerets private tekstmeldinger.
Henting av kommando- og kontrollserver – kontakte masteren
Trusselen kobles deretter til Command and Control-serveren (C&C), som styrer operasjonene og samler inn de innsamlede dataene. Til å begynne med brukte skadevaren Firebase for å få C&C-serveradressen, men har siden utviklet seg til å bruke Github-depoter eller legge inn adressen direkte i appen.
C&C Communication – Rapportering inn og opplasting av data
Etter å ha sikret C&C-serveradressen, oppretter den infiserte enheten en tilkobling til den. Dette tjener to formål: 1) den skadelige programvaren varsler serveren om dens aktive status, og 2) den oppretter en kanal for å sende stjålne SMS-meldinger, inkludert verdifulle OTP-koder.
OTP Harvesting – The Covert Collector
I den siste fasen overvåker skadelig programvare lydløst innkommende SMS-meldinger, med fokus på å avskjære OTP-er som brukes til online kontoverifisering mens den forblir uoppdaget.
