SMS Stealer Mobile Malware
Um ataque cibernético global direcionado aos dispositivos Android emprega milhares de bots do Telegram para espalhar malware que rouba SMS e capturar senhas 2FA de uso único (OTPs) para mais de 600 serviços. Os investigadores têm monitorizado esta operação desde fevereiro de 2022 e identificaram pelo menos 107.000 amostras únicas de malware ligadas à campanha. Os atacantes parecem ser motivados por incentivos financeiros, provavelmente utilizando os dispositivos comprometidos para facilitar a autenticação e aumentar o anonimato.
Índice
Milhares de Bots do Telegrama Espalham o SMS Stealer Mobile Malware
O SMS Stealer Mobile Malwarese espalha por meio de dois métodos principais: malvertising e bots do Telegram que automatizam a comunicação com as vítimas.
No primeiro método, as vítimas são direcionadas para páginas falsas do Google Play, que exibem números de download inflacionados para parecerem legítimos e ganharem a confiança da vítima.
No Telegram, os bots oferecem aplicativos Android piratas e solicitam o número de telefone da vítima antes de fornecer o arquivo APK. Esse número é utilizado pelo bot para criar um APK customizado, possibilitando rastreamento personalizado ou ataques futuros.
A operação depende de aproximadamente 2.600 bots do Telegram para distribuir vários APKs Android, todos gerenciados por 13 servidores de Comando e Controle (C2). A maioria dos indivíduos afetados está na Índia e na Rússia, embora números significativos também sejam relatados no Brasil, no México e nos Estados Unidos.
Como os Autores da Ameaça Geram Fundos Usando as Vítimas
O malware envia as mensagens SMS interceptadas para um endpoint de API no site ‘fastsms.su’. Este site oferece números de telefone ‘virtuais’ de vários países, que os usuários podem adquirir para anonimato e para autenticação em plataformas online. É altamente provável que os dispositivos comprometidos estejam a ser utilizados por este serviço sem o conhecimento das vítimas. O malware aproveita as permissões de acesso SMS concedidas a ele em dispositivos Android para capturar OTPs necessários para registros de contas e autenticação de dois fatores.
Para as vítimas, isto pode resultar em cobranças não autorizadas nas suas contas móveis e num potencial envolvimento em atividades ilegais rastreadas até ao seu dispositivo e número de telefone. Para se proteger contra o uso indevido do número de telefone, evite baixar arquivos APK de fontes fora do Google Play, evite conceder permissões desnecessárias a aplicativos com funções não relacionadas e certifique-se de que o Play Protect esteja ativado no seu dispositivo.
O Fluxo de Ataque da Operação do SMS Stealer
A vítima é atraída a instalar um aplicativo fraudulento por meio de anúncios enganosos que imitam lojas de aplicativos legítimas ou por meio de bots automatizados do Telegram que interagem diretamente com o alvo (detalhes abaixo).
Solicitações de Permissão – Obtendo Acesso
Uma vez instalado, o aplicativo fraudulento solicita permissões de leitura de SMS, um recurso de alto risco no Android que permite acesso a dados pessoais confidenciais. Embora os aplicativos legítimos possam precisar de permissões de SMS para funções específicas, a solicitação deste aplicativo foi projetada para coletar mensagens de texto privadas da vítima.
Recuperação do Servidor de Comando e Controle – Entrando em Contato com o Mestre
A ameaça então se conecta ao seu servidor de Comando e Controle (C&C), que direciona suas operações e coleta os dados coletados. Inicialmente, o malware usava o Firebase para obter o endereço do servidor C&C, mas desde então evoluiu para usar repositórios Github ou incorporar o endereço diretamente no aplicativo.
Comunicação C&C – Relatórios e Upload de Dados
Depois de proteger o endereço do servidor C&C, o dispositivo infectado estabelece uma conexão com ele. Isso tem dois propósitos: 1) o malware notifica o servidor sobre seu status ativo e 2) cria um canal para enviar mensagens SMS roubadas, incluindo códigos OTP valiosos.
Colheita OTP – O Colecionador Secreto
Na fase final, o malware monitora silenciosamente as mensagens SMS recebidas, concentrando-se na interceptação de OTPs usados para verificação de contas online, permanecendo sem ser detectado.
