एसएमएस चोर मोबाइल मालवेयर

एन्ड्रोइड उपकरणहरूमा लक्षित विश्वव्यापी साइबर आक्रमणले एसएमएस चोर्ने मालवेयर फैलाउन र 600 भन्दा बढी सेवाहरूको लागि एक पटकको 2FA पासवर्ड (OTPs) क्याप्चर गर्न हजारौं टेलिग्राम बटहरू प्रयोग गर्दछ। अनुसन्धानकर्ताहरूले फेब्रुअरी 2022 देखि यस कार्यको अनुगमन गरिरहेका छन् र कम्तिमा 107,000 अद्वितीय मालवेयर नमूनाहरू अभियानसँग जोडिएका छन्। आक्रमणकारीहरू वित्तीय प्रोत्साहनद्वारा संचालित देखिन्छन्, सम्भवतः प्रमाणीकरण गर्न र अज्ञातता बढाउनको लागि सम्झौता गरिएका उपकरणहरू प्रयोग गर्छन्।

हजारौं टेलिग्राम बटहरूले एसएमएस चोर्ने मालवेयर फैलाउँछन्

एसएमएस चोर्ने मालवेयर दुई मुख्य विधिहरू मार्फत फैलिएको छ: मालभरटाइजिङ र टेलिग्राम बटहरू जसले पीडितहरूसँग सञ्चार स्वचालित गर्दछ।

पहिलो विधिमा, पीडितहरूलाई नक्कली गुगल प्ले पृष्ठहरूमा निर्देशित गरिन्छ, जसले वैध देखिन र पीडितको विश्वास प्राप्त गर्नका लागि बढेको डाउनलोड नम्बरहरू प्रदर्शन गर्दछ।

टेलिग्राममा, बटहरूले पाइरेटेड एन्ड्रोइड अनुप्रयोगहरू प्रस्ताव गर्छन् र एपीके फाइल प्रदान गर्नु अघि पीडितको फोन नम्बर अनुरोध गर्छन्। यो नम्बर बट द्वारा अनुकूलित एपीके सिर्जना गर्न, व्यक्तिगत ट्र्याकिङ वा भविष्यमा आक्रमणहरू सक्षम गर्न प्रयोग गरिन्छ।

विभिन्न एन्ड्रोइड एपीकेहरू वितरण गर्न लगभग 2,600 टेलिग्राम बटहरूमा निर्भर गर्दछ, सबै 13 कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरूद्वारा व्यवस्थित। अधिकांश प्रभावित व्यक्तिहरू भारत र रसियामा छन्, यद्यपि उल्लेखनीय संख्याहरू ब्राजिल, मेक्सिको र संयुक्त राज्यमा पनि रिपोर्ट गरिएको छ।

कसरी थ्रेट अभिनेताहरूले पीडितहरूबाट कोष उत्पन्न गर्छन्

मालवेयरले अवरोधित SMS सन्देशहरूलाई वेबसाइट 'fastsms.su' मा API अन्त्य बिन्दुमा पठाउँछ। यो साइटले विभिन्न देशहरूबाट 'भर्चुअल' फोन नम्बरहरू प्रदान गर्दछ, जुन प्रयोगकर्ताहरूले गुमनामको लागि र अनलाइन प्लेटफर्महरूमा प्रमाणीकरण गर्न खरीद गर्न सक्छन्। यो अत्यधिक सम्भावित छ कि सम्झौता गरिएका उपकरणहरू पीडितहरूको जानकारी बिना यो सेवाद्वारा प्रयोग भइरहेको छ। मालवेयरले खाता दर्ता र दुई-कारक प्रमाणीकरणका लागि आवश्यक ओटीपीहरू क्याप्चर गर्न एन्ड्रोइड उपकरणहरूमा यसलाई दिइएको एसएमएस पहुँच अनुमतिहरूको लाभ उठाउँछ।

पीडितहरूका लागि, यसले तिनीहरूको मोबाइल खाताहरूमा अनधिकृत शुल्कहरू र तिनीहरूको यन्त्र र फोन नम्बरमा पत्ता लगाइएका अवैध गतिविधिहरूमा सम्भावित संलग्नताको परिणाम हुन सक्छ। फोन नम्बरको दुरुपयोगबाट जोगाउन, Google Play बाहिरका स्रोतहरूबाट APK फाइलहरू डाउनलोड गर्नबाट जोगिनुहोस्, असंबद्ध प्रकार्यहरू भएका एपहरूलाई अनावश्यक अनुमतिहरू दिन नदिनुहोस् र तपाईंको यन्त्रमा Play Protect सक्षम गरिएको छ भनी सुनिश्चित गर्नुहोस्।

एसएमएस स्टिलर अपरेशनको आक्रमण प्रवाह

पीडितलाई वैध एप स्टोरहरूको नक्कल गर्ने भ्रामक विज्ञापनहरू वा लक्ष्यसँग प्रत्यक्ष अन्तरक्रिया गर्ने स्वचालित टेलिग्राम बटहरू मार्फत जालसाजी अनुप्रयोग स्थापना गर्ने प्रलोभन दिइन्छ (तल विवरणहरू)।

अनुमति अनुरोधहरू - पहुँच प्राप्त गर्दै

एक पटक स्थापना भएपछि, धोखाधडी अनुप्रयोगले एसएमएस पढ्न अनुमतिहरू अनुरोध गर्दछ, एन्ड्रोइडमा एक उच्च-जोखिम सुविधा जसले संवेदनशील व्यक्तिगत डेटामा पहुँच अनुमति दिन्छ। वैध अनुप्रयोगहरूलाई विशेष प्रकार्यहरूको लागि SMS अनुमतिहरू आवश्यक हुन सक्छ, यो अनुप्रयोगको अनुरोध पीडितको निजी पाठ सन्देशहरू फसल गर्न डिजाइन गरिएको हो।

आदेश र नियन्त्रण सर्भर पुन: प्राप्ति - मास्टरलाई सम्पर्क गर्दै

खतरा त्यसपछि यसको कमाण्ड र कन्ट्रोल (C&C) सर्भरमा जडान हुन्छ, जसले यसको सञ्चालनलाई निर्देशित गर्दछ र सङ्कलन गरिएको डाटा सङ्कलन गर्दछ। प्रारम्भमा, मालवेयरले C&C सर्भर ठेगाना प्राप्त गर्न Firebase को प्रयोग गर्‍यो तर त्यसपछि Github भण्डारहरू प्रयोग गर्न वा ठेगानालाई सिधै एप भित्र इम्बेड गर्न विकसित भएको छ।

C&C संचार - रिपोर्टिङ इन र डाटा अपलोड

C&C सर्भर ठेगाना सुरक्षित गरेपछि, संक्रमित उपकरणले यसमा जडान स्थापित गर्दछ। यसले दुईवटा उद्देश्यहरू पूरा गर्दछ: 1) मालवेयरले सर्भरलाई यसको सक्रिय स्थितिको सूचना दिन्छ, र 2) यसले मूल्यवान OTP कोडहरू सहित चोरी SMS सन्देशहरू पठाउनको लागि च्यानल सिर्जना गर्दछ।

OTP हार्वेस्टिङ – द कभर्ट कलेक्टर

अन्तिम चरणमा, मालवेयरले अनलाईन खाता प्रमाणिकरणका लागि प्रयोग गरिएका OTP हरू पत्ता नलागेको अवस्थामा रोकिने कुरामा ध्यान केन्द्रित गर्दै, आगमन एसएमएस सन्देशहरू चुपचाप निगरानी गर्दछ।