Złośliwe oprogramowanie mobilne do kradzieży SMS-ów
Globalny cyberatak wymierzony w urządzenia z Androidem wykorzystuje tysiące botów Telegram do rozprzestrzeniania szkodliwego oprogramowania kradnącego SMS-y i przechwytywania jednorazowych haseł 2FA (OTP) do ponad 600 usług. Badacze monitorują tę operację od lutego 2022 r. i zidentyfikowali co najmniej 107 000 unikalnych próbek złośliwego oprogramowania powiązanych z tą kampanią. Wydaje się, że napastnicy kierują się zachętami finansowymi i prawdopodobnie wykorzystują skompromitowane urządzenia w celu ułatwienia uwierzytelniania i zwiększenia anonimowości.
Spis treści
Tysiące botów telegramowych rozprzestrzenia złośliwe oprogramowanie kradnące SMS-y
Szkodliwe oprogramowanie kradnące SMS-y rozprzestrzenia się za pomocą dwóch głównych metod: złośliwych reklam i botów Telegramu, które automatyzują komunikację z ofiarami.
Pierwsza metoda polega na tym, że ofiary są kierowane na fałszywe strony Google Play, które wyświetlają zawyżoną liczbę pobrań, aby wyglądać na wiarygodne i zyskać zaufanie ofiary.
W Telegramie boty oferują pirackie aplikacje na Androida i żądają numeru telefonu ofiary przed udostępnieniem pliku APK. Numer ten jest używany przez bota do tworzenia spersonalizowanego pakietu APK, umożliwiającego spersonalizowane śledzenie lub przyszłe ataki.
Operacja opiera się na około 2600 botach Telegramu rozprowadzających różne pliki APK dla Androida, a wszystkimi zarządza 13 serwerów dowodzenia i kontroli (C2). Większość osób dotkniętych chorobą znajduje się w Indiach i Rosji, choć znaczne liczby odnotowano także w Brazylii, Meksyku i Stanach Zjednoczonych.
Jak podmioty zagrażające generują fundusze od ofiar
Szkodnik wysyła przechwycone wiadomości SMS do punktu końcowego API na stronie internetowej „fastsms.su”. Ta witryna oferuje „wirtualne” numery telefonów z różnych krajów, które użytkownicy mogą kupić w celu zapewnienia anonimowości i uwierzytelnienia na platformach internetowych. Jest wysoce prawdopodobne, że zaatakowane urządzenia są wykorzystywane przez tę usługę bez wiedzy ofiar. Szkodnik wykorzystuje uprawnienia dostępu do SMS-ów przyznane mu na urządzeniach z systemem Android w celu przechwytywania haseł jednorazowych potrzebnych do rejestracji kont i uwierzytelniania dwuskładnikowego.
W przypadku ofiar może to skutkować nieautoryzowanymi obciążeniami na ich kontach mobilnych i potencjalnym zaangażowaniem w nielegalne działania powiązane z ich urządzeniem i numerem telefonu. Aby zabezpieczyć się przed nadużyciem numeru telefonu, unikaj pobierania plików APK ze źródeł spoza Google Play, nie udzielaj niepotrzebnych uprawnień aplikacjom z niepowiązanymi funkcjami i upewnij się, że na Twoim urządzeniu jest włączona funkcja Play Protect.
Przebieg ataku w ramach operacji kradzieży SMS-ów
Ofiara zostaje nakłoniona do zainstalowania fałszywej aplikacji poprzez wprowadzające w błąd reklamy imitujące legalne sklepy z aplikacjami lub za pośrednictwem automatycznych botów Telegramu, które wchodzą w bezpośrednią interakcję z celem (szczegóły poniżej).
Prośby o pozwolenie – uzyskiwanie dostępu
Po zainstalowaniu fałszywa aplikacja żąda uprawnień do odczytu SMS-ów – funkcji obarczonej wysokim ryzykiem w systemie Android, która umożliwia dostęp do wrażliwych danych osobowych. Chociaż legalne aplikacje mogą potrzebować uprawnień SMS do określonych funkcji, żądanie tej aplikacji ma na celu przechwycenie prywatnych wiadomości tekstowych ofiary.
Odzyskanie serwera dowodzenia i kontroli – kontakt z kapitanem
Następnie zagrożenie łączy się ze swoim serwerem dowodzenia i kontroli (C&C), który kieruje jego operacjami i gromadzi zebrane dane. Początkowo złośliwe oprogramowanie korzystało z Firebase w celu uzyskania adresu serwera kontroli, ale od tego czasu ewoluowało i wykorzystuje repozytoria Github lub osadza adres bezpośrednio w aplikacji.
Komunikacja C&C – zgłaszanie i przesyłanie danych
Po zabezpieczeniu adresu serwera C&C zainfekowane urządzenie nawiązuje z nim połączenie. Służy to dwóm celom: 1) szkodliwe oprogramowanie powiadamia serwer o swoim statusie aktywności oraz 2) tworzy kanał do wysyłania skradzionych wiadomości SMS, zawierających cenne kody OTP.
Zbiórki OTP – ukryty kolekcjoner
W końcowej fazie szkodliwe oprogramowanie po cichu monitoruje przychodzące wiadomości SMS, koncentrując się na przechwytywaniu haseł jednorazowych wykorzystywanych do weryfikacji konta online, pozostając jednocześnie niewykrytym.
