SMS vjedhës Mobile Malware
Një sulm kibernetik global që synon pajisjet Android punëson mijëra robotë Telegram për të përhapur malware që vjedhin SMS dhe për të kapur një herë fjalëkalimet 2FA (OTP) për mbi 600 shërbime. Studiuesit e kanë monitoruar këtë operacion që nga shkurti 2022 dhe kanë identifikuar të paktën 107,000 mostra unike malware të lidhura me fushatën. Sulmuesit duket se drejtohen nga stimuj financiarë, me gjasë duke përdorur pajisjet e komprometuara për të lehtësuar vërtetimin dhe për të rritur anonimitetin.
Tabela e Përmbajtjes
Mijëra robotë të Telegramit përhapin malware-in e vjedhjes së SMS-ve
Malware-i që vjedh SMS përhapet përmes dy metodave kryesore: reklamimit të keq dhe robotëve të Telegram që automatizojnë komunikimin me viktimat.
Në metodën e parë, viktimat drejtohen në faqet e rreme të Google Play, të cilat shfaqin numra të fryrë shkarkimesh për t'u dukur legjitime dhe për të fituar besimin e viktimës.
Në Telegram, robotët ofrojnë aplikacione pirate për Android dhe kërkojnë numrin e telefonit të viktimës përpara se të japin skedarin APK. Ky numër përdoret nga roboti për të krijuar një APK të personalizuar, duke mundësuar gjurmimin e personalizuar ose sulmet e ardhshme.
Operacioni mbështetet në afërsisht 2,600 bot të Telegramit për të shpërndarë APK të ndryshëm Android, të gjitha të menaxhuara nga 13 serverë Command-and-Control (C2). Shumica e individëve të prekur janë në Indi dhe Rusi, megjithëse një numër i konsiderueshëm raportohet gjithashtu në Brazil, Meksikë dhe Shtetet e Bashkuara.
Si aktorët e kërcënimit gjenerojnë fonde nga viktimat
Malware dërgon mesazhet SMS të përgjuara në një pikë fundore API në faqen e internetit 'fastsms.su'. Kjo faqe ofron numra telefoni 'virtuale' nga vende të ndryshme, të cilët përdoruesit mund t'i blejnë për anonimitet dhe për t'i vërtetuar në platformat online. Ka shumë të ngjarë që pajisjet e komprometuara të përdoren nga ky shërbim pa dijeninë e viktimave. Malware përdor lejet e aksesit të SMS-ve që i janë dhënë në pajisjet Android për të kapur OTP-të e nevojshme për regjistrimet e llogarisë dhe vërtetimin me dy faktorë.
Për viktimat, kjo mund të rezultojë në tarifa të paautorizuara në llogaritë e tyre celulare dhe përfshirje të mundshme në aktivitete të paligjshme të gjurmuara në pajisjen dhe numrin e tyre të telefonit. Për t'u mbrojtur nga keqpërdorimi i numrave të telefonit, shmangni shkarkimin e skedarëve APK nga burime jashtë Google Play, përmbahuni nga dhënia e lejeve të panevojshme për aplikacionet me funksione të palidhura dhe sigurohuni që Play Protect të jetë i aktivizuar në pajisjen tuaj.
Rrjedha e sulmit të operacionit të vjedhësit të SMS
Viktima joshet në instalimin e një aplikacioni mashtrues përmes reklamave mashtruese që imitojnë dyqanet e ligjshme të aplikacioneve ose nëpërmjet robotëve të automatizuar të Telegramit që ndërveprojnë drejtpërdrejt me objektivin (detajet më poshtë).
Kërkesat për leje – Fitimi i aksesit
Pasi të instalohet, aplikacioni mashtrues kërkon leje leximi të SMS-ve, një veçori me rrezik të lartë në Android që lejon aksesin në të dhënat personale të ndjeshme. Ndërsa aplikacionet legjitime mund të kenë nevojë për leje SMS për funksione specifike, kërkesa e këtij aplikacioni është krijuar për të mbledhur mesazhet me tekst privat të viktimës.
Rikthimi i serverit të komandës dhe kontrollit – Kontaktimi me Masterin
Kërcënimi më pas lidhet me serverin e tij Command and Control (C&C), i cili drejton operacionet e tij dhe mbledh të dhënat e mbledhura. Fillimisht, malware përdori Firebase për të marrë adresën e serverit C&C, por që atëherë ka evoluar për të përdorur depot e Github ose për të futur adresën direkt brenda aplikacionit.
Komunikimi C&C – Raportimi dhe ngarkimi i të dhënave
Pas sigurimit të adresës së serverit C&C, pajisja e infektuar krijon një lidhje me të. Kjo shërben për dy qëllime: 1) malware njofton serverin për statusin e tij aktiv dhe 2) krijon një kanal për të dërguar mesazhe SMS të vjedhura, duke përfshirë kode të vlefshme OTP.
Korrja e OTP - Koleksionisti i Fshehtë
Në fazën përfundimtare, malware monitoron në heshtje mesazhet SMS në hyrje, duke u fokusuar në përgjimin e OTP-ve të përdorura për verifikimin e llogarisë në internet, ndërsa mbeten të pazbuluar.
