SMS Stealer Mobile Malware
Globálny kybernetický útok zameraný na zariadenia so systémom Android využíva tisíce robotov Telegram na šírenie škodlivého softvéru na kradnutie SMS a zachytávanie jednorazových hesiel 2FA (OTP) pre viac ako 600 služieb. Výskumníci monitorovali túto operáciu od februára 2022 a identifikovali najmenej 107 000 jedinečných vzoriek malvéru spojených s kampaňou. Zdá sa, že útočníci sú poháňaní finančnými stimulmi, pravdepodobne využívajú napadnuté zariadenia na uľahčenie autentifikácie a zvýšenie anonymity.
Obsah
Tisíce telegramových robotov šíria malvér SMS Stealer
Malvér kradnúci SMS sa šíri prostredníctvom dvoch hlavných metód: malvertising a telegramové roboty, ktoré automatizujú komunikáciu s obeťami.
V prvej metóde sú obete nasmerované na falošné stránky Google Play, ktoré zobrazujú nafúknuté čísla sťahovania, aby vyzerali legitímne a získali si dôveru obete.
Na Telegrame ponúkajú roboty pirátske aplikácie pre Android a pred poskytnutím súboru APK si vyžiadajú telefónne číslo obete. Toto číslo používa robot na vytvorenie prispôsobeného súboru APK, ktorý umožňuje prispôsobené sledovanie alebo budúce útoky.
Operácia sa spolieha na približne 2 600 telegramových robotov na distribúciu rôznych súborov Android APK, všetky spravované 13 servermi Command-and-Control (C2). Väčšina postihnutých osôb je v Indii a Rusku, aj keď značné počty sú hlásené aj v Brazílii, Mexiku a Spojených štátoch.
Ako hroziaci aktéri generujú finančné prostriedky od obetí
Malvér odošle zachytené SMS správy do koncového bodu API na webovej lokalite „fastsms.su“. Táto stránka ponúka „virtuálne“ telefónne čísla z rôznych krajín, ktoré si používatelia môžu zakúpiť v anonymite a na overenie na online platformách. Je vysoko pravdepodobné, že napadnuté zariadenia používa táto služba bez vedomia obetí. Malvér využíva povolenia na prístup k SMS, ktoré mu boli udelené na zariadeniach so systémom Android, na zachytenie hesiel potrebných na registráciu účtov a dvojfaktorovú autentifikáciu.
Pre obete to môže viesť k neoprávneným poplatkom na ich mobilných účtoch a potenciálnemu zapojeniu sa do nezákonných aktivít vysledovateľných až k ich zariadeniu a telefónnemu číslu. Ak sa chcete chrániť pred zneužitím telefónneho čísla, nesťahujte súbory APK zo zdrojov mimo služby Google Play, neudeľujte zbytočné povolenia aplikáciám s nesúvisiacimi funkciami a uistite sa, že je na vašom zariadení povolená funkcia Play Protect.
Priebeh útoku operácie SMS Stealer
Obeť je nalákaná na inštaláciu podvodnej aplikácie prostredníctvom zavádzajúcich reklám, ktoré napodobňujú legitímne obchody s aplikáciami, alebo prostredníctvom automatizovaných telegramových robotov, ktoré interagujú priamo s cieľom (podrobnosti nižšie).
Žiadosti o povolenia – získanie prístupu
Po nainštalovaní si podvodná aplikácia vyžiada povolenia na čítanie SMS, čo je vysoko riziková funkcia v systéme Android, ktorá umožňuje prístup k citlivým osobným údajom. Zatiaľ čo legitímne aplikácie môžu potrebovať povolenia pre SMS pre konkrétne funkcie, požiadavka tejto aplikácie je navrhnutá tak, aby zbierala súkromné textové správy obete.
Vyvolanie príkazového a riadiaceho servera – Kontaktovanie Master
Hrozba sa potom pripojí k svojmu serveru velenia a riadenia (C&C), ktorý riadi jej operácie a zhromažďuje zhromaždené údaje. Spočiatku malvér používal Firebase na získanie adresy servera C&C, ale odvtedy sa vyvinul tak, aby používal úložiská Github alebo vložil adresu priamo do aplikácie.
C&C Communication – podávanie správ a nahrávanie údajov
Po zabezpečení adresy C&C servera s ním infikované zariadenie nadviaže spojenie. Slúži to na dva účely: 1) malvér upozorní server na svoj aktívny stav a 2) vytvorí kanál na odosielanie ukradnutých SMS správ vrátane cenných OTP kódov.
OTP Harvesting – The Covert Collector
V záverečnej fáze malvér ticho monitoruje prichádzajúce SMS správy, pričom sa zameriava na zachytenie OTP používaných na overenie online účtu, pričom zostáva nezistený.
