SMS Stealer Mobile Malware
En global cyberattack riktad mot Android-enheter använder tusentals Telegram-bots för att sprida skadlig programvara som stjäl SMS och fånga engångslösenord (OTP) för över 600 tjänster. Forskare har övervakat denna operation sedan februari 2022 och har identifierat minst 107 000 unika skadlig programvara kopplade till kampanjen. Angriparna verkar drivas av ekonomiska incitament och använder troligen de komprometterade enheterna för att underlätta autentisering och förbättra anonymiteten.
Innehållsförteckning
Tusentals Telegram Bots sprider SMS Stealer Malware
Den SMS-stjälande skadliga programvaran sprids genom två huvudmetoder: malvertising och Telegram-bots som automatiserar kommunikation med offer.
I den första metoden hänvisas offren till falska Google Play-sidor, som visar uppblåsta nedladdningsnummer för att verka legitima och vinna offrets förtroende.
På Telegram erbjuder botarna piratkopierade Android-applikationer och begär offrets telefonnummer innan de tillhandahåller APK-filen. Detta nummer används av boten för att skapa en anpassad APK, som möjliggör personlig spårning eller framtida attacker.
Operationen förlitar sig på cirka 2 600 Telegram-bots för att distribuera olika Android APK-filer, alla hanterade av 13 Command-and-Control (C2)-servrar. Majoriteten av de drabbade individerna finns i Indien och Ryssland, men betydande antal rapporteras också i Brasilien, Mexiko och USA.
Hur hotaktörer genererar pengar från offer
Skadlig programvara skickar de avlyssnade SMS-meddelandena till en API-slutpunkt på webbplatsen 'fastsms.su'. Den här webbplatsen erbjuder "virtuella" telefonnummer från olika länder, som användare kan köpa för anonymitet och för att autentisera på onlineplattformar. Det är mycket troligt att de komprometterade enheterna används av denna tjänst utan offrens vetskap. Skadlig programvara utnyttjar de SMS-åtkomstbehörigheter som den har beviljats på Android-enheter för att fånga OTP:er som behövs för kontoregistreringar och tvåfaktorsautentisering.
För offer kan detta leda till obehöriga debiteringar på deras mobilkonton och potentiell inblandning i olagliga aktiviteter som spåras tillbaka till deras enhet och telefonnummer. För att skydda mot missbruk av telefonnummer, undvik att ladda ner APK-filer från källor utanför Google Play, avstå från att ge onödiga behörigheter till appar med orelaterade funktioner och se till att Play Protect är aktiverat på din enhet.
Attackflödet för SMS Stealer-operationen
Offret lockas att installera en bedräglig applikation genom vilseledande annonser som imiterar legitima appbutiker eller via automatiserade Telegram-bots som interagerar direkt med målet (detaljer nedan).
Tillståndsbegäranden – Få åtkomst
När den har installerats begär den bedrägliga applikationen läsbehörigheter för SMS, en högriskfunktion på Android som ger tillgång till känsliga personuppgifter. Även om legitima appar kan behöva SMS-behörigheter för specifika funktioner, är den här appens begäran utformad för att samla in offrets privata textmeddelanden.
Kommando- och kontrollserverhämtning – kontakta mastern
Hotet ansluter sedan till sin Command and Control-server (C&C), som styr dess verksamhet och samlar in insamlad data. Till en början använde skadlig programvara Firebase för att få C&C-serveradressen men har sedan dess utvecklats till att använda Github-förråd eller bädda in adressen direkt i appen.
C&C Communication – Inrapportering och uppladdning av data
Efter att ha säkrat C&C-serveradressen upprättar den infekterade enheten en anslutning till den. Detta tjänar två syften: 1) skadlig programvara meddelar servern om dess aktiva status, och 2) den skapar en kanal för att skicka stulna SMS-meddelanden, inklusive värdefulla OTP-koder.
OTP Harvesting – The Covert Collector
I den sista fasen övervakar skadlig programvara tyst inkommande SMS-meddelanden, med fokus på att avlyssna OTP:er som används för onlinekontoverifiering samtidigt som de förblir oupptäckta.
