SMS Stealer mobiele malware
Bij een wereldwijde cyberaanval gericht op Android-apparaten worden duizenden Telegram-bots ingezet om sms-stelende malware te verspreiden en eenmalige 2FA-wachtwoorden (OTP's) voor meer dan 600 services vast te leggen. Onderzoekers volgen deze operatie sinds februari 2022 en hebben minstens 107.000 unieke malwaremonsters geïdentificeerd die verband houden met de campagne. De aanvallers lijken te worden gedreven door financiële prikkels, waarbij ze waarschijnlijk de gecompromitteerde apparaten gebruiken om authenticatie te vergemakkelijken en de anonimiteit te vergroten.
Inhoudsopgave
Duizenden Telegram-bots verspreiden de SMS Stealer-malware
De sms-stelende malware wordt verspreid via twee hoofdmethoden: malvertising en Telegram-bots die de communicatie met slachtoffers automatiseren.
Bij de eerste methode worden slachtoffers doorverwezen naar valse Google Play-pagina's, die hoge downloadaantallen weergeven om legitiem over te komen en het vertrouwen van het slachtoffer te winnen.
Op Telegram bieden de bots illegale Android-applicaties aan en vragen ze het telefoonnummer van het slachtoffer op voordat ze het APK-bestand verstrekken. Dit nummer wordt door de bot gebruikt om een aangepaste APK te maken, waardoor gepersonaliseerde tracking of toekomstige aanvallen mogelijk wordt.
De operatie is afhankelijk van ongeveer 2.600 Telegram-bots om verschillende Android APK's te distribueren, allemaal beheerd door 13 Command-and-Control (C2)-servers. De meerderheid van de getroffen personen bevindt zich in India en Rusland, hoewel er ook aanzienlijke aantallen worden gerapporteerd in Brazilië, Mexico en de Verenigde Staten.
Hoe bedreigingsactoren geld genereren van slachtoffers
De malware stuurt de onderschepte sms-berichten naar een API-eindpunt op de website 'fastsms.su.' Deze site biedt 'virtuele' telefoonnummers uit verschillende landen, die gebruikers kunnen kopen voor anonimiteit en om te authenticeren op online platforms. Het is zeer waarschijnlijk dat de besmette apparaten door deze dienst worden gebruikt zonder medeweten van de slachtoffers. De malware maakt gebruik van de sms-toegangsrechten die eraan zijn verleend op Android-apparaten om OTP's vast te leggen die nodig zijn voor accountregistraties en tweefactorauthenticatie.
Voor slachtoffers kan dit resulteren in ongeautoriseerde afschrijvingen op hun mobiele accounts en mogelijke betrokkenheid bij illegale activiteiten die terug te voeren zijn op hun apparaat en telefoonnummer. Om u te beschermen tegen misbruik van telefoonnummers, vermijd het downloaden van APK-bestanden van bronnen buiten Google Play, geef geen onnodige toestemming aan apps met niet-gerelateerde functies en zorg ervoor dat Play Protect is ingeschakeld op uw apparaat.
De aanvalsstroom van de SMS Stealer-operatie
Het slachtoffer wordt verleid tot het installeren van een frauduleuze applicatie via misleidende advertenties die legitieme app-stores imiteren of via geautomatiseerde Telegram-bots die rechtstreeks met het doelwit communiceren (details hieronder).
Toestemmingsverzoeken – Toegang verkrijgen
Eenmaal geïnstalleerd, vraagt de frauduleuze applicatie om sms-leesrechten, een risicovolle functie op Android die toegang geeft tot gevoelige persoonlijke gegevens. Hoewel legitieme apps mogelijk sms-machtigingen nodig hebben voor specifieke functies, is het verzoek van deze app bedoeld om de privé-sms-berichten van het slachtoffer te verzamelen.
Command & Control-server ophalen – Contact opnemen met de master
De dreiging maakt vervolgens verbinding met de Command and Control (C&C)-server, die de activiteiten aanstuurt en de verzamelde gegevens verzamelt. Aanvankelijk gebruikte de malware Firebase om het C&C-serveradres te verkrijgen, maar is sindsdien geëvolueerd om Github-opslagplaatsen te gebruiken of het adres rechtstreeks in de app in te sluiten.
C&C-communicatie – Rapporteren en uploaden van gegevens
Nadat het C&C-serveradres is beveiligd, brengt het geïnfecteerde apparaat er een verbinding mee tot stand. Dit dient twee doelen: 1) de malware informeert de server over zijn actieve status, en 2) het creëert een kanaal om gestolen sms-berichten te verzenden, inclusief waardevolle OTP-codes.
OTP-oogst – de geheime verzamelaar
In de laatste fase monitort de malware in stilte binnenkomende sms-berichten, waarbij de nadruk ligt op het onderscheppen van OTP's die worden gebruikt voor online accountverificatie, terwijl ze onopgemerkt blijven.
