Мобильное вредоносное ПО для кражи SMS
Глобальная кибератака, направленная на устройства Android, использует тысячи ботов Telegram для распространения вредоносного ПО для кражи SMS и захвата одноразовых паролей 2FA (OTP) для более чем 600 сервисов. Исследователи следят за этой операцией с февраля 2022 года и выявили не менее 107 000 уникальных образцов вредоносного ПО, связанных с кампанией. Злоумышленники, судя по всему, руководствуются финансовыми стимулами и, вероятно, используют взломанные устройства для облегчения аутентификации и повышения анонимности.
Оглавление
Тысячи ботов Telegram распространяют вредоносное ПО для кражи SMS
Вредоносное ПО для кражи SMS распространяется двумя основными способами: вредоносной рекламой и ботами Telegram, которые автоматизируют общение с жертвами.
В первом методе жертвы перенаправляются на поддельные страницы Google Play, на которых отображается завышенное количество загрузок, чтобы выглядеть законными и завоевать доверие жертвы.
В Telegram боты предлагают пиратские приложения для Android и запрашивают номер телефона жертвы, прежде чем предоставить APK-файл. Этот номер используется ботом для создания индивидуального APK, позволяющего персонализировать отслеживание или будущие атаки.
В операции задействовано около 2600 ботов Telegram для распространения различных APK-файлов Android, все они управляются 13 серверами управления и контроля (C2). Большинство заболевших проживают в Индии и России, хотя значительное число также зарегистрировано в Бразилии, Мексике и США.
Как злоумышленники генерируют средства от жертв
Вредоносная программа отправляет перехваченные SMS-сообщения на конечную точку API на сайте fastsms.su. Этот сайт предлагает «виртуальные» номера телефонов из разных стран, которые пользователи могут приобрести для обеспечения анонимности и аутентификации на онлайн-платформах. Весьма вероятно, что взломанные устройства используются этим сервисом без ведома жертв. Вредоносное ПО использует разрешения на доступ к SMS, предоставленные ему на устройствах Android, для захвата одноразовых паролей, необходимых для регистрации учетных записей и двухфакторной аутентификации.
Для жертв это может привести к несанкционированному снятию средств с их мобильных счетов и потенциальному участию в незаконной деятельности, связанной с их устройством и номером телефона. Чтобы защититься от неправомерного использования номера телефона, не загружайте APK-файлы из источников за пределами Google Play, не предоставляйте ненужные разрешения приложениям с несвязанными функциями и убедитесь, что на вашем устройстве включена Play Protect.
Алгоритм атаки в рамках операции по краже SMS
Жертву заманивают к установке мошеннического приложения с помощью вводящей в заблуждение рекламы, имитирующей законные магазины приложений, или с помощью автоматических ботов Telegram, которые напрямую взаимодействуют с целью (подробности ниже).
Запросы разрешений – получение доступа
После установки мошенническое приложение запрашивает разрешение на чтение SMS — функция Android с высоким уровнем риска, которая позволяет получить доступ к конфиденциальным личным данным. Хотя законным приложениям могут потребоваться разрешения на использование SMS для определенных функций, запрос этого приложения предназначен для сбора личных текстовых сообщений жертвы.
Получение сервера управления и контроля – обращение к мастеру
Затем угроза подключается к своему серверу управления и контроля (C&C), который направляет ее операции и собирает собранные данные. Первоначально вредоносное ПО использовало Firebase для получения адреса командного сервера, но с тех пор оно эволюционировало и теперь использует репозитории Github или встраивает адрес непосредственно в приложение.
Связь с C&C – отчетность и загрузка данных
Захватив адрес командного сервера, зараженное устройство устанавливает с ним соединение. Это служит двум целям: 1) вредоносная программа уведомляет сервер о своем активном статусе и 2) создает канал для отправки украденных SMS-сообщений, включая ценные OTP-коды.
OTP Harvesting – Тайный коллекционер
На заключительном этапе вредоносное ПО незаметно отслеживает входящие SMS-сообщения, концентрируясь на перехвате одноразовых паролей, используемых для онлайн-верификации учетной записи, оставаясь при этом незамеченным.
