Zlonamerna programska oprema za mobilne naprave SMS Stealer
Globalni kibernetski napad, namenjen napravam Android, uporablja na tisoče botov Telegram za širjenje zlonamerne programske opreme za krajo SMS-ov in zajemanje enkratnih gesel 2FA (OTP) za več kot 600 storitev. Raziskovalci to operacijo spremljajo od februarja 2022 in so identificirali najmanj 107.000 edinstvenih vzorcev zlonamerne programske opreme, povezanih s kampanjo. Zdi se, da napadalce vodijo finančne spodbude, verjetno uporabljajo ogrožene naprave za lažjo avtentikacijo in izboljšanje anonimnosti.
Kazalo
Na tisoče Telegram botov širi zlonamerno programsko opremo SMS Stealer
Zlonamerna programska oprema za krajo SMS-ov se širi z dvema glavnima metodama: zlonamernim oglaševanjem in roboti Telegram, ki avtomatizirajo komunikacijo z žrtvami.
Pri prvi metodi so žrtve usmerjene na lažne strani Google Play, ki prikazujejo napihnjene številke prenosov, da so videti legitimne in si pridobijo zaupanje žrtve.
Na Telegramu boti ponujajo piratske aplikacije za Android in zahtevajo telefonsko številko žrtve, preden zagotovijo datoteko APK. To številko uporablja bot za ustvarjanje prilagojenega APK-ja, ki omogoča prilagojeno sledenje ali prihodnje napade.
Operacija se opira na približno 2.600 robotov Telegram za distribucijo različnih APK-jev za Android, ki jih upravlja 13 strežnikov za upravljanje in nadzor (C2). Večina prizadetih posameznikov je v Indiji in Rusiji, čeprav o znatnem številu poročajo tudi v Braziliji, Mehiki in Združenih državah.
Kako akterji groženj ustvarjajo sredstva od žrtev
Zlonamerna programska oprema pošlje prestrežena sporočila SMS končni točki API na spletnem mestu 'fastsms.su'. To spletno mesto ponuja 'virtualne' telefonske številke iz različnih držav, ki jih lahko uporabniki kupijo zaradi anonimnosti in preverjanja pristnosti na spletnih platformah. Zelo verjetno je, da ta storitev uporablja ogrožene naprave brez vednosti žrtev. Zlonamerna programska oprema izkorišča dovoljenja za dostop do SMS-ov, ki so ji bila dodeljena v napravah Android, da zajame OTP-je, potrebne za registracije računov in dvofaktorsko avtentikacijo.
Za žrtve lahko to povzroči nepooblaščene bremenitve njihovih mobilnih računov in potencialno vpletenost v nezakonite dejavnosti, ki jih je mogoče izslediti na njihovi napravi in telefonski številki. Za zaščito pred zlorabo telefonske številke se izogibajte prenašanju datotek APK iz virov zunaj storitve Google Play, vzdržite se podeljevanja nepotrebnih dovoljenj aplikacijam z nepovezanimi funkcijami in zagotovite, da je v vaši napravi omogočena funkcija Play Protect.
Potek napada operacije SMS Stealer
Žrtev je zvabljena v namestitev goljufive aplikacije prek zavajajočih oglasov, ki posnemajo zakonite trgovine z aplikacijami, ali prek avtomatiziranih robotov Telegram, ki neposredno komunicirajo s tarčo (podrobnosti spodaj).
Zahteve za dovoljenje – pridobitev dostopa
Ko je goljufiva aplikacija nameščena, zahteva dovoljenja za branje sporočil SMS, kar je zelo tvegana funkcija v sistemu Android, ki omogoča dostop do občutljivih osebnih podatkov. Medtem ko zakonite aplikacije morda potrebujejo dovoljenja za SMS za določene funkcije, je zahteva te aplikacije zasnovana za zbiranje zasebnih besedilnih sporočil žrtve.
Pridobivanje ukaznega in nadzornega strežnika – vzpostavitev stika z glavnim strežnikom
Grožnja se nato poveže s svojim strežnikom za poveljevanje in nadzor (C&C), ki usmerja njene operacije in zbira zbrane podatke. Sprva je zlonamerna programska oprema uporabljala Firebase za pridobitev naslova strežnika C&C, nato pa se je razvila tako, da uporablja repozitorije Github ali vdela naslov neposredno v aplikacijo.
C&C komunikacija – poročanje in nalaganje podatkov
Ko zavaruje naslov C&C strežnika, okužena naprava z njim vzpostavi povezavo. To ima dva namena: 1) zlonamerna programska oprema obvesti strežnik o svojem aktivnem stanju in 2) ustvari kanal za pošiljanje ukradenih sporočil SMS, vključno z dragocenimi kodami OTP.
OTP Harvesting – Prikriti zbiralec
V zadnji fazi zlonamerna programska oprema tiho nadzoruje dohodna sporočila SMS in se osredotoča na prestrezanje OTP-jev, ki se uporabljajo za spletno preverjanje računa, pri čemer ostane neodkrita.
