SMS స్టీలర్ మొబైల్ మాల్వేర్

ఆండ్రాయిడ్ పరికరాలను లక్ష్యంగా చేసుకున్న గ్లోబల్ సైబర్‌టాక్ SMS దొంగిలించే మాల్‌వేర్‌ను వ్యాప్తి చేయడానికి మరియు 600 కంటే ఎక్కువ సేవల కోసం వన్-టైమ్ 2FA పాస్‌వర్డ్‌లను (OTPలు) క్యాప్చర్ చేయడానికి వేల సంఖ్యలో టెలిగ్రామ్ బాట్‌లను ఉపయోగిస్తుంది. పరిశోధకులు ఫిబ్రవరి 2022 నుండి ఈ ఆపరేషన్‌ను పర్యవేక్షిస్తున్నారు మరియు ప్రచారానికి లింక్ చేయబడిన కనీసం 107,000 ప్రత్యేక మాల్వేర్ నమూనాలను గుర్తించారు. దాడి చేసేవారు ఆర్థిక ప్రోత్సాహకాల ద్వారా నడపబడుతున్నట్లు కనిపిస్తారు, ప్రామాణీకరణను సులభతరం చేయడానికి మరియు అనామకతను మెరుగుపరచడానికి రాజీపడిన పరికరాలను ఉపయోగించే అవకాశం ఉంది.

వేలకొద్దీ టెలిగ్రామ్ బాట్‌లు SMS స్టీలర్ మాల్వేర్‌ను వ్యాప్తి చేస్తాయి

SMS దొంగిలించే మాల్వేర్ రెండు ప్రధాన పద్ధతుల ద్వారా వ్యాప్తి చెందుతుంది: మాల్వర్టైజింగ్ మరియు టెలిగ్రామ్ బాట్‌లు బాధితులతో కమ్యూనికేషన్‌ను ఆటోమేట్ చేస్తాయి.

మొదటి పద్ధతిలో, బాధితులు నకిలీ Google Play పేజీలకు మళ్లించబడతారు, అవి చట్టబద్ధంగా కనిపించడానికి మరియు బాధితుడి నమ్మకాన్ని పొందేందుకు పెంచిన డౌన్‌లోడ్ నంబర్‌లను ప్రదర్శిస్తాయి.

టెలిగ్రామ్‌లో, బాట్‌లు పైరేటెడ్ ఆండ్రాయిడ్ అప్లికేషన్‌లను అందిస్తాయి మరియు APK ఫైల్‌ను అందించే ముందు బాధితుడి ఫోన్ నంబర్‌ను అభ్యర్థిస్తాయి. వ్యక్తిగతీకరించిన ట్రాకింగ్ లేదా భవిష్యత్ దాడులను ప్రారంభించడం ద్వారా అనుకూలీకరించిన APKని సృష్టించడానికి ఈ నంబర్ బోట్ ద్వారా ఉపయోగించబడుతుంది.

వివిధ Android APKలను పంపిణీ చేయడానికి ఈ ఆపరేషన్ దాదాపు 2,600 టెలిగ్రామ్ బాట్‌లపై ఆధారపడి ఉంటుంది, అన్నీ 13 కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌లచే నిర్వహించబడతాయి. బ్రెజిల్, మెక్సికో మరియు యునైటెడ్ స్టేట్స్‌లో కూడా గణనీయమైన సంఖ్యలో నివేదించబడినప్పటికీ, ప్రభావితమైన వ్యక్తులలో ఎక్కువ మంది భారతదేశం మరియు రష్యాలో ఉన్నారు.

బెదిరింపు నటులు బాధితుల నుండి నిధులను ఎలా సేకరిస్తారు

మాల్వేర్ అంతరాయం కలిగించిన SMS సందేశాలను 'fastsms.su.' వెబ్‌సైట్‌లోని API ముగింపు పాయింట్‌కి పంపుతుంది. ఈ సైట్ వివిధ దేశాల నుండి 'వర్చువల్' ఫోన్ నంబర్‌లను అందిస్తుంది, వీటిని వినియోగదారులు అనామకత్వం కోసం మరియు ఆన్‌లైన్ ప్లాట్‌ఫారమ్‌లలో ప్రామాణీకరించడానికి కొనుగోలు చేయవచ్చు. బాధితులకు తెలియకుండానే ఈ సేవ ద్వారా రాజీపడిన పరికరాలు ఉపయోగించబడుతున్నాయి. ఖాతా రిజిస్ట్రేషన్‌లు మరియు రెండు-కారకాల ప్రామాణీకరణ కోసం అవసరమైన OTPలను క్యాప్చర్ చేయడానికి Android పరికరాలలో దానికి మంజూరు చేయబడిన SMS యాక్సెస్ అనుమతులను మాల్వేర్ ప్రభావితం చేస్తుంది.

బాధితుల కోసం, ఇది వారి మొబైల్ ఖాతాలపై అనధికారిక ఛార్జీలు మరియు వారి పరికరం మరియు ఫోన్ నంబర్‌తో గుర్తించబడిన చట్టవిరుద్ధ కార్యకలాపాలలో సంభావ్య ప్రమేయానికి దారి తీస్తుంది. ఫోన్ నంబర్ దుర్వినియోగం నుండి రక్షించడానికి, Google Play వెలుపలి మూలాల నుండి APK ఫైల్‌లను డౌన్‌లోడ్ చేయడాన్ని నివారించండి, సంబంధం లేని ఫంక్షన్‌లు ఉన్న యాప్‌లకు అనవసరమైన అనుమతులు ఇవ్వకుండా ఉండండి మరియు మీ పరికరంలో Play రక్షణ ప్రారంభించబడిందని నిర్ధారించుకోండి.

SMS స్టీలర్ ఆపరేషన్ యొక్క అటాక్ ఫ్లో

చట్టబద్ధమైన యాప్ స్టోర్‌లను అనుకరించే తప్పుదారి పట్టించే ప్రకటనల ద్వారా లేదా లక్ష్యంతో నేరుగా ఇంటరాక్ట్ అయ్యే ఆటోమేటెడ్ టెలిగ్రామ్ బాట్‌ల ద్వారా (దిగువ వివరాలు) మోసపూరిత అప్లికేషన్‌ను ఇన్‌స్టాల్ చేయడానికి బాధితుడు ఆకర్షితుడయ్యాడు.

అనుమతి అభ్యర్థనలు - యాక్సెస్ పొందడం

ఇన్‌స్టాల్ చేసిన తర్వాత, మోసపూరిత అప్లికేషన్ SMS రీడ్ పర్మిషన్‌లను అభ్యర్థిస్తుంది, ఇది సున్నితమైన వ్యక్తిగత డేటాకు యాక్సెస్‌ను అనుమతించే Androidలో అధిక-రిస్క్ ఫీచర్. నిర్దిష్ట ఫంక్షన్‌ల కోసం చట్టబద్ధమైన యాప్‌లకు SMS అనుమతులు అవసరం కావచ్చు, ఈ యాప్ అభ్యర్థన బాధితుడి ప్రైవేట్ టెక్స్ట్ సందేశాలను సేకరించేందుకు రూపొందించబడింది.

కమాండ్ & కంట్రోల్ సర్వర్ రిట్రీవల్ - మాస్టర్‌ని సంప్రదిస్తోంది

ముప్పు దాని కమాండ్ అండ్ కంట్రోల్ (C&C) సర్వర్‌కు కనెక్ట్ అవుతుంది, ఇది దాని కార్యకలాపాలను నిర్దేశిస్తుంది మరియు సేకరించిన డేటాను సేకరిస్తుంది. ప్రారంభంలో, మాల్వేర్ C&C సర్వర్ చిరునామాను పొందేందుకు Firebaseని ఉపయోగించింది కానీ Github రిపోజిటరీలను ఉపయోగించడానికి లేదా నేరుగా యాప్‌లో చిరునామాను పొందుపరిచేలా అభివృద్ధి చెందింది.

C&C కమ్యూనికేషన్ – రిపోర్టింగ్ ఇన్ & అప్‌లోడ్ డేటా

C&C సర్వర్ చిరునామాను భద్రపరిచిన తర్వాత, సోకిన పరికరం దానికి కనెక్షన్‌ను ఏర్పాటు చేస్తుంది. ఇది రెండు ప్రయోజనాలను అందిస్తుంది: 1) మాల్వేర్ దాని సక్రియ స్థితిని సర్వర్‌కు తెలియజేస్తుంది మరియు 2) విలువైన OTP కోడ్‌లతో సహా దొంగిలించబడిన SMS సందేశాలను పంపడానికి ఇది ఛానెల్‌ని సృష్టిస్తుంది.

OTP హార్వెస్టింగ్ - రహస్య కలెక్టర్

చివరి దశలో, మాల్వేర్ ఇన్‌కమింగ్ SMS సందేశాలను నిశ్శబ్దంగా పర్యవేక్షిస్తుంది, ఆన్‌లైన్ ఖాతా ధృవీకరణ కోసం ఉపయోగించిన OTPలను గుర్తించకుండానే అడ్డుకోవడంపై దృష్టి పెడుతుంది.