SMS Stealer Mobile Malware
Un atac cibernetic global care vizează dispozitivele Android angajează mii de roboți Telegram pentru a răspândi programe malware care fură SMS-uri și pentru a captura parole unice 2FA (OTP) pentru peste 600 de servicii. Cercetătorii monitorizează această operațiune din februarie 2022 și au identificat cel puțin 107.000 de mostre unice de malware legate de campanie. Atacatorii par să fie conduși de stimulente financiare, folosind probabil dispozitivele compromise pentru a facilita autentificarea și a spori anonimatul.
Cuprins
Mii de roboți Telegram răspândesc malware SMS Stealer
Malware-ul care fură SMS-uri este răspândit prin două metode principale: malvertising și roboți Telegram care automatizează comunicarea cu victimele.
În prima metodă, victimele sunt direcționate către pagini Google Play false, care afișează numere de descărcare umflate pentru a părea legitime și pentru a câștiga încrederea victimei.
Pe Telegram, boții oferă aplicații Android piratate și solicită numărul de telefon al victimei înainte de a furniza fișierul APK. Acest număr este folosit de bot pentru a crea un APK personalizat, permițând urmărirea personalizată sau atacurile viitoare.
Operațiunea se bazează pe aproximativ 2.600 de roboți Telegram pentru a distribui diverse APK-uri Android, toate gestionate de 13 servere Command-and-Control (C2). Majoritatea persoanelor afectate se află în India și Rusia, deși un număr semnificativ este raportat și în Brazilia, Mexic și Statele Unite.
Cum actorii de amenințare generează fonduri de la victime
Programul malware trimite mesajele SMS interceptate către un punct final API de pe site-ul web „fastsms.su”. Acest site oferă numere de telefon „virtuale” din diverse țări, pe care utilizatorii le pot achiziționa pentru anonimat și pentru a se autentifica pe platformele online. Este foarte probabil ca dispozitivele compromise să fie folosite de acest serviciu fără știrea victimelor. Malware-ul folosește permisiunile de acces SMS acordate pe dispozitivele Android pentru a captura OTP-uri necesare pentru înregistrările de cont și autentificarea cu doi factori.
Pentru victime, acest lucru poate duce la debitări neautorizate pe conturile lor mobile și la o potențială implicare în activități ilegale, urmărite până la dispozitivul și numărul lor de telefon. Pentru a vă proteja împotriva utilizării greșite a numărului de telefon, evitați descărcarea fișierelor APK din surse din afara Google Play, evitați să acordați permisiuni inutile aplicațiilor cu funcții care nu au legătură și asigurați-vă că Play Protect este activat pe dispozitiv.
Fluxul de atac al operațiunii SMS Stealer
Victima este atrasă să instaleze o aplicație frauduloasă prin reclame înșelătoare care imită magazinele de aplicații legitime sau prin intermediul roboților Telegram automatizați care interacționează direct cu ținta (detalii mai jos).
Solicitări de permisiune – Obținerea accesului
Odată instalată, aplicația frauduloasă solicită permisiuni de citire prin SMS, o funcție cu risc ridicat pe Android care permite accesul la date personale sensibile. În timp ce aplicațiile legitime ar putea avea nevoie de permisiuni SMS pentru anumite funcții, cererea acestei aplicații este concepută pentru a colecta mesajele text private ale victimei.
Recuperarea serverului de comandă și control – Contactarea masterului
Amenințarea se conectează apoi la serverul său de comandă și control (C&C), care își dirijează operațiunile și adună datele colectate. Inițial, malware-ul a folosit Firebase pentru a obține adresa serverului C&C, dar de atunci a evoluat pentru a utiliza depozitele Github sau a încorpora adresa direct în aplicație.
Comunicare C&C – Raportarea și încărcarea datelor
După securizarea adresei serverului C&C, dispozitivul infectat stabilește o conexiune la acesta. Acest lucru servește la două scopuri: 1) malware-ul notifică serverul despre starea sa activă și 2) creează un canal pentru a trimite mesaje SMS furate, inclusiv coduri OTP valoroase.
OTP Harvesting – The Covert Collector
În faza finală, malware-ul monitorizează în tăcere mesajele SMS primite, concentrându-se pe interceptarea OTP-urilor utilizate pentru verificarea contului online, rămânând nedetectate.
