СМС Стеалер Мобиле Малвер
Глобални сајбер напад усмерен на Андроид уређаје запошљава хиљаде Телеграм ботова за ширење малвера који краду СМС-ове и хватање једнократних 2ФА лозинки (ОТП) за преко 600 услуга. Истраживачи прате ову операцију од фебруара 2022. и идентификовали су најмање 107.000 јединствених узорака малвера повезаних са кампањом. Чини се да су нападачи вођени финансијским подстицајима, вероватно користећи компромитоване уређаје да би олакшали аутентификацију и побољшали анонимност.
Преглед садржаја
Хиљаде Телеграм ботова шире малвер СМС Стеалер
Малвер који краде СМС шири се на два главна метода: малвертисинг и Телеграм ботови који аутоматизују комуникацију са жртвама.
У првом методу, жртве се упућују на лажне Гоогле Плаи странице, које приказују надуване бројеве преузимања како би изгледале легитимно и задобиле поверење жртве.
На Телеграму, ботови нуде пиратске Андроид апликације и траже број телефона жртве пре него што дају АПК датотеку. Овај број користи бот за креирање прилагођеног АПК-а, омогућавајући персонализовано праћење или будуће нападе.
Операција се ослања на приближно 2.600 Телеграм ботова за дистрибуцију различитих Андроид АПК-ова, којима управља 13 сервера за команду и контролу (Ц2). Већина погођених појединаца је у Индији и Русији, иако је значајан број пријављен и у Бразилу, Мексику и Сједињеним Државама.
Како актери претњи генеришу средства од жртава
Малвер шаље пресретнуте СМС поруке до АПИ крајње тачке на веб локацији „фастсмс.су“. Овај сајт нуди 'виртуелне' бројеве телефона из различитих земаља, које корисници могу купити ради анонимности и аутентификације на онлајн платформама. Велика је вероватноћа да ова служба користи компромитоване уређаје без знања жртава. Малвер користи дозволе за приступ СМС-у које су му додељене на Андроид уређајима да би ухватио ОТП-ове потребне за регистрацију налога и двофакторску аутентификацију.
За жртве, ово може довести до неовлашћених наплата на њиховим мобилним рачунима и потенцијалне умешаности у незаконите активности које се могу пратити до њиховог уређаја и броја телефона. Да бисте се заштитили од злоупотребе броја телефона, избегавајте преузимање АПК датотека из извора изван Гоогле Плаи-а, уздржите се од давања непотребних дозвола апликацијама са неповезаним функцијама и уверите се да је Плаи заштита омогућена на вашем уређају.
Ток напада операције крадљиваца СМС-а
Жртва је намамљена да инсталира лажну апликацију путем обмањујућих реклама које имитирају легитимне продавнице апликација или путем аутоматизованих Телеграм ботова који директно комуницирају са метом (детаљи испод).
Захтеви за дозволу – добијање приступа
Једном инсталирана, лажна апликација захтева дозволе за читање СМС-а, функцију високог ризика на Андроиду која омогућава приступ осетљивим личним подацима. Док легитимним апликацијама могу бити потребне СМС дозволе за одређене функције, захтев ове апликације је дизајниран да прикупи приватне текстуалне поруке жртве.
Преузимање командног и контролног сервера – контактирање мастера
Претња се затим повезује са својим сервером за команду и контролу (Ц&Ц), који управља његовим операцијама и прикупља прикупљене податке. У почетку је злонамерни софтвер користио Фиребасе да би добио адресу Ц&Ц сервера, али је од тада еволуирао да користи Гитхуб репозиторије или уграђује адресу директно у апликацију.
Ц&Ц комуникација – извештавање и отпремање података
Након обезбеђивања адресе Ц&Ц сервера, заражени уређај успоставља везу са њим. Ово има две сврхе: 1) злонамерни софтвер обавештава сервер о свом активном статусу и 2) креира канал за слање украдених СМС порука, укључујући вредне ОТП кодове.
ОТП Харвестинг – Тајни сакупљач
У завршној фази, злонамерни софтвер нечујно прати долазне СМС поруке, фокусирајући се на пресретање ОТП-ова који се користе за онлајн верификацију налога, а притом остају неоткривени.
