எஸ்எம்எஸ் திருடுபவர் மொபைல் மால்வேர்
ஆண்ட்ராய்டு சாதனங்களை இலக்காகக் கொண்ட உலகளாவிய சைபர் அட்டாக் ஆயிரக்கணக்கான டெலிகிராம் போட்களைப் பயன்படுத்தி எஸ்எம்எஸ்-திருடும் தீம்பொருளைப் பரப்புகிறது மற்றும் 600 க்கும் மேற்பட்ட சேவைகளுக்கு ஒரு முறை 2FA கடவுச்சொற்களை (OTPs) கைப்பற்றுகிறது. பிப்ரவரி 2022 முதல் ஆராய்ச்சியாளர்கள் இந்த செயல்பாட்டைக் கண்காணித்து வருகின்றனர், மேலும் பிரச்சாரத்துடன் இணைக்கப்பட்ட குறைந்தபட்சம் 107,000 தனிப்பட்ட தீம்பொருள் மாதிரிகளை அடையாளம் கண்டுள்ளனர். தாக்குதல் நடத்துபவர்கள் நிதி ஊக்குவிப்புகளால் உந்தப்பட்டதாகத் தெரிகிறது, சமரசம் செய்யப்பட்ட சாதனங்களைப் பயன்படுத்தி அங்கீகாரத்தை எளிதாக்குவதற்கும் பெயர் தெரியாததை மேம்படுத்துவதற்கும் வாய்ப்புள்ளது.
பொருளடக்கம்
ஆயிரக்கணக்கான டெலிகிராம் போட்கள் எஸ்எம்எஸ் ஸ்டீலர் மால்வேரைப் பரப்புகின்றன
எஸ்எம்எஸ்-திருடும் தீம்பொருள் இரண்டு முக்கிய முறைகள் மூலம் பரவுகிறது: மால்வர்டைசிங் மற்றும் டெலிகிராம் போட்கள் பாதிக்கப்பட்டவர்களுடனான தொடர்பை தானியங்குபடுத்துகின்றன.
முதல் முறையில், பாதிக்கப்பட்டவர்கள் போலியான கூகுள் ப்ளே பக்கங்களுக்கு அனுப்பப்படுகின்றனர், அவை முறையானதாக தோன்றுவதற்கும் பாதிக்கப்பட்டவரின் நம்பிக்கையைப் பெறுவதற்கும் உயர்த்தப்பட்ட பதிவிறக்க எண்களைக் காண்பிக்கும்.
டெலிகிராமில், போட்கள் திருட்டு ஆண்ட்ராய்டு பயன்பாடுகளை வழங்குகின்றன மற்றும் APK கோப்பை வழங்குவதற்கு முன் பாதிக்கப்பட்டவரின் தொலைபேசி எண்ணைக் கோருகின்றன. தனிப்பயனாக்கப்பட்ட APK ஐ உருவாக்க, தனிப்பயனாக்கப்பட்ட கண்காணிப்பு அல்லது எதிர்கால தாக்குதல்களை செயல்படுத்த, இந்த எண்ணை பாட் பயன்படுத்துகிறது.
பல்வேறு ஆண்ட்ராய்டு APKகளை விநியோகிக்க சுமார் 2,600 டெலிகிராம் போட்களை இந்த செயல்பாடு நம்பியுள்ளது, இவை அனைத்தும் 13 கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகங்களால் நிர்வகிக்கப்படுகின்றன. பாதிக்கப்பட்டவர்களில் பெரும்பாலோர் இந்தியா மற்றும் ரஷ்யாவில் உள்ளனர், இருப்பினும் குறிப்பிடத்தக்க எண்ணிக்கையிலானவர்கள் பிரேசில், மெக்சிகோ மற்றும் அமெரிக்காவிலும் பதிவாகியுள்ளனர்.
அச்சுறுத்தல் நடிகர்கள் பாதிக்கப்பட்டவர்களிடமிருந்து நிதியை எவ்வாறு உருவாக்குகிறார்கள்
தீம்பொருள் குறுக்கிடப்பட்ட SMS செய்திகளை 'fastsms.su.' என்ற இணையதளத்தில் உள்ள API இறுதிப் புள்ளிக்கு அனுப்புகிறது. இந்தத் தளம் பல்வேறு நாடுகளில் இருந்து 'விர்ச்சுவல்' ஃபோன் எண்களை வழங்குகிறது, பயனர்கள் அநாமதேயத்திற்காகவும் ஆன்லைன் தளங்களில் அங்கீகரிக்கவும் வாங்கலாம். பாதிக்கப்பட்டவர்களுக்குத் தெரியாமல் இந்தச் சேவையால் சமரசம் செய்யப்பட்ட சாதனங்கள் பயன்படுத்தப்படுவதற்கான வாய்ப்புகள் அதிகம். கணக்குப் பதிவுகள் மற்றும் இரு காரணி அங்கீகாரத்திற்குத் தேவையான OTPகளைப் பிடிக்க, Android சாதனங்களில் அதற்கு வழங்கப்பட்ட SMS அணுகல் அனுமதிகளை தீம்பொருள் பயன்படுத்துகிறது.
பாதிக்கப்பட்டவர்களுக்கு, இது அவர்களின் மொபைல் கணக்குகளில் அங்கீகரிக்கப்படாத கட்டணங்கள் மற்றும் அவர்களின் சாதனம் மற்றும் ஃபோன் எண்ணின் மூலம் அறியப்படும் சட்டவிரோத நடவடிக்கைகளில் சாத்தியமான ஈடுபாட்டை ஏற்படுத்தும். ஃபோன் எண்ணைத் தவறாகப் பயன்படுத்துவதிலிருந்து பாதுகாக்க, Google Playக்கு வெளியே உள்ள ஆதாரங்களில் இருந்து APK கோப்புகளைப் பதிவிறக்குவதைத் தவிர்க்கவும், தொடர்பில்லாத செயல்பாடுகளைக் கொண்ட பயன்பாடுகளுக்கு தேவையற்ற அனுமதிகளை வழங்குவதைத் தவிர்க்கவும், மேலும் உங்கள் சாதனத்தில் Play Protect இயக்கப்பட்டுள்ளதை உறுதி செய்யவும்.
எஸ்எம்எஸ் ஸ்டீலர் செயல்பாட்டின் தாக்குதல் ஓட்டம்
முறையான ஆப் ஸ்டோர்களைப் பின்பற்றும் தவறான விளம்பரங்கள் மூலமாகவோ அல்லது இலக்குடன் நேரடியாகத் தொடர்புகொள்ளும் தானியங்கி டெலிகிராம் போட்கள் மூலமாகவோ (கீழே உள்ள விவரங்கள்) மோசடியான பயன்பாட்டை நிறுவுவதற்கு பாதிக்கப்பட்டவர் ஈர்க்கப்படுகிறார்.
அனுமதி கோரிக்கைகள் - அணுகலைப் பெறுதல்
நிறுவப்பட்டதும், மோசடியான பயன்பாடு, முக்கியமான தனிப்பட்ட தரவை அணுக அனுமதிக்கும் Android இல் அதிக ஆபத்துள்ள அம்சமான SMS வாசிப்பு அனுமதிகளைக் கோருகிறது. குறிப்பிட்ட செயல்பாடுகளுக்கு முறையான பயன்பாடுகளுக்கு SMS அனுமதிகள் தேவைப்படலாம் என்றாலும், இந்த பயன்பாட்டின் கோரிக்கை பாதிக்கப்பட்டவரின் தனிப்பட்ட உரைச் செய்திகளை சேகரிக்க வடிவமைக்கப்பட்டுள்ளது.
கட்டளை மற்றும் கட்டுப்பாட்டு சர்வர் மீட்டெடுப்பு - மாஸ்டரைத் தொடர்பு கொள்கிறது
அச்சுறுத்தல் அதன் கட்டளை மற்றும் கட்டுப்பாடு (C&C) சேவையகத்துடன் இணைக்கிறது, இது அதன் செயல்பாடுகளை இயக்குகிறது மற்றும் சேகரிக்கப்பட்ட தரவை சேகரிக்கிறது. ஆரம்பத்தில், மால்வேர் C&C சர்வர் முகவரியைப் பெற Firebase ஐப் பயன்படுத்தியது, ஆனால் பின்னர் Github களஞ்சியங்களைப் பயன்படுத்த அல்லது நேரடியாக பயன்பாட்டிற்குள் முகவரியை உட்பொதிக்க பரிணமித்தது.
C&C கம்யூனிகேஷன் - தகவல் மற்றும் தரவைப் பதிவேற்றுதல்
C&C சேவையக முகவரியைப் பாதுகாத்த பிறகு, பாதிக்கப்பட்ட சாதனம் அதனுடன் ஒரு இணைப்பை நிறுவுகிறது. இது இரண்டு நோக்கங்களுக்காக உதவுகிறது: 1) தீம்பொருள் அதன் செயலில் உள்ள நிலையை சேவையகத்திற்கு தெரிவிக்கிறது, மேலும் 2) மதிப்புமிக்க OTP குறியீடுகள் உட்பட திருடப்பட்ட SMS செய்திகளை அனுப்ப சேனலை உருவாக்குகிறது.
OTP அறுவடை - மறைமுக சேகரிப்பு
இறுதி கட்டத்தில், தீம்பொருள் உள்வரும் எஸ்எம்எஸ் செய்திகளை அமைதியாக கண்காணிக்கிறது, ஆன்லைன் கணக்கு சரிபார்ப்புக்கு பயன்படுத்தப்படும் OTP களை இடைமறிப்பதில் கவனம் செலுத்துகிறது.
