มัลแวร์มือถือ SMS Stealer

การโจมตีทางไซเบอร์ทั่วโลกที่มุ่งเป้าไปที่อุปกรณ์ Android ใช้บอท Telegram หลายพันตัวเพื่อแพร่กระจายมัลแวร์ที่ขโมย SMS และจับรหัสผ่าน 2FA (OTP) แบบครั้งเดียวสำหรับบริการมากกว่า 600 รายการ นักวิจัยได้ติดตามการดำเนินการนี้ตั้งแต่เดือนกุมภาพันธ์ 2565 และระบุตัวอย่างมัลแวร์ที่ไม่ซ้ำกันอย่างน้อย 107,000 ตัวอย่างที่เชื่อมโยงกับแคมเปญ ผู้โจมตีดูเหมือนจะได้รับแรงผลักดันจากสิ่งจูงใจทางการเงิน มีแนวโน้มว่าจะใช้อุปกรณ์ที่ถูกบุกรุกเพื่ออำนวยความสะดวกในการตรวจสอบสิทธิ์และเพิ่มความเป็นส่วนตัว

บอท Telegram นับพันแพร่กระจายมัลแวร์ SMS Stealer

มัลแวร์ขโมย SMS แพร่กระจายผ่านสองวิธีหลัก: มัลแวร์โฆษณาและบอทโทรเลขที่ทำให้การสื่อสารกับเหยื่อเป็นแบบอัตโนมัติ

ในวิธีแรก เหยื่อจะถูกส่งไปยังหน้า Google Play ปลอม ซึ่งแสดงจำนวนการดาวน์โหลดที่สูงเกินจริงเพื่อให้ดูเหมือนถูกต้องตามกฎหมายและได้รับความไว้วางใจจากเหยื่อ

บน Telegram บอทเสนอแอปพลิเคชัน Android ที่ละเมิดลิขสิทธิ์และขอหมายเลขโทรศัพท์ของเหยื่อก่อนที่จะให้ไฟล์ APK บอทใช้หมายเลขนี้เพื่อสร้าง APK ที่กำหนดเอง ช่วยให้สามารถติดตามส่วนบุคคลหรือการโจมตีในอนาคตได้

การดำเนินการนี้อาศัยเทเลแกรมบอทประมาณ 2,600 ตัวเพื่อแจกจ่าย APK ของ Android ต่างๆ ซึ่งทั้งหมดจัดการโดยเซิร์ฟเวอร์ Command-and-Control (C2) 13 เครื่อง บุคคลที่ได้รับผลกระทบส่วนใหญ่อยู่ในอินเดียและรัสเซีย แม้ว่าจะมีการรายงานตัวเลขจำนวนมากในบราซิล เม็กซิโก และสหรัฐอเมริกาก็ตาม

ผู้คุกคามสร้างรายได้จากเหยื่อได้อย่างไร

มัลแวร์ส่งข้อความ SMS ที่ถูกดักจับไปยังจุดสิ้นสุด API บนเว็บไซต์ 'fastsms.su' ไซต์นี้เสนอหมายเลขโทรศัพท์ 'เสมือน' จากประเทศต่างๆ ซึ่งผู้ใช้สามารถซื้อโดยไม่เปิดเผยตัวตนและเพื่อตรวจสอบสิทธิ์บนแพลตฟอร์มออนไลน์ มีความเป็นไปได้สูงที่บริการนี้จะใช้อุปกรณ์ที่ถูกบุกรุกโดยที่เหยื่อไม่ทราบ มัลแวร์ใช้ประโยชน์จากสิทธิ์การเข้าถึง SMS ที่มอบให้บนอุปกรณ์ Android เพื่อจับ OTP ที่จำเป็นสำหรับการลงทะเบียนบัญชีและการตรวจสอบสิทธิ์แบบสองปัจจัย

สำหรับผู้ที่ตกเป็นเหยื่อ สิ่งนี้อาจส่งผลให้เกิดการเรียกเก็บเงินที่ไม่ได้รับอนุญาตในบัญชีมือถือของพวกเขา และอาจมีส่วนร่วมในกิจกรรมที่ผิดกฎหมายที่สืบย้อนกลับไปที่อุปกรณ์และหมายเลขโทรศัพท์ของพวกเขา เพื่อป้องกันการใช้หมายเลขโทรศัพท์ในทางที่ผิด ให้หลีกเลี่ยงการดาวน์โหลดไฟล์ APK จากแหล่งภายนอก Google Play หลีกเลี่ยงการให้สิทธิ์ที่ไม่จำเป็นแก่แอปที่มีฟังก์ชันที่ไม่เกี่ยวข้อง และตรวจสอบให้แน่ใจว่าได้เปิดใช้งาน Play Protect บนอุปกรณ์ของคุณแล้ว

ขั้นตอนการโจมตีของปฏิบัติการขโมย SMS

เหยื่อถูกล่อให้ติดตั้งแอปพลิเคชันฉ้อโกงผ่านโฆษณาที่ทำให้เข้าใจผิดซึ่งเลียนแบบร้านค้าแอปที่ถูกต้องตามกฎหมาย หรือผ่านบอท Telegram อัตโนมัติที่โต้ตอบโดยตรงกับเป้าหมาย (รายละเอียดด้านล่าง)

คำขอสิทธิ์ – การเข้าถึง

เมื่อติดตั้งแล้ว แอปพลิเคชันหลอกลวงจะขอสิทธิ์อ่าน SMS ซึ่งเป็นฟีเจอร์ที่มีความเสี่ยงสูงบน Android ที่ช่วยให้สามารถเข้าถึงข้อมูลส่วนบุคคลที่ละเอียดอ่อนได้ แม้ว่าแอปที่ถูกกฎหมายอาจต้องได้รับสิทธิ์ SMS สำหรับฟังก์ชันบางอย่าง แต่คำขอของแอปนี้ได้รับการออกแบบมาเพื่อรวบรวมข้อความส่วนตัวของเหยื่อ

การเรียกค้นเซิร์ฟเวอร์ Command & Control – การติดต่อ Master

ภัยคุกคามจะเชื่อมต่อกับเซิร์ฟเวอร์ Command and Control (C&C) ซึ่งควบคุมการปฏิบัติงานและรวบรวมข้อมูลที่รวบรวมไว้ ในตอนแรก มัลแวร์ใช้ Firebase เพื่อรับที่อยู่เซิร์ฟเวอร์ C&C แต่ต่อมาได้พัฒนาเพื่อใช้ที่เก็บ Github หรือฝังที่อยู่โดยตรงภายในแอป

การสื่อสาร C&C – การรายงานและการอัปโหลดข้อมูล

หลังจากรักษาความปลอดภัยที่อยู่เซิร์ฟเวอร์ C&C แล้ว อุปกรณ์ที่ติดไวรัสจะสร้างการเชื่อมต่อกับอุปกรณ์ดังกล่าว ซึ่งมีวัตถุประสงค์สองประการ: 1) มัลแวร์จะแจ้งให้เซิร์ฟเวอร์ทราบถึงสถานะที่ใช้งานอยู่ และ 2) สร้างช่องทางในการส่งข้อความ SMS ที่ถูกขโมย รวมถึงรหัส OTP อันมีค่า

การเก็บเกี่ยว OTP – นักสะสมแอบแฝง

ในระยะสุดท้าย มัลแวร์จะตรวจสอบข้อความ SMS ขาเข้าแบบเงียบๆ โดยมุ่งเน้นไปที่การสกัดกั้น OTP ที่ใช้สำหรับการตรวจสอบบัญชีออนไลน์ในขณะที่ยังคงตรวจไม่พบ