SMS Stealer Mobile Malware
Ang isang pandaigdigang cyberattack na naglalayon sa mga Android device ay gumagamit ng libu-libong Telegram bots upang maikalat ang SMS-stealing malware at kumuha ng isang beses na 2FA password (OTPs) para sa mahigit 600 serbisyo. Sinusubaybayan ng mga mananaliksik ang operasyong ito mula noong Pebrero 2022 at natukoy ang hindi bababa sa 107,000 natatanging sample ng malware na naka-link sa campaign. Lumilitaw na ang mga umaatake ay hinihimok ng mga insentibo sa pananalapi, malamang na gumagamit ng mga nakompromisong device upang mapadali ang pagpapatotoo at pahusayin ang hindi pagkakilala.
Talaan ng mga Nilalaman
Libu-libong Telegram Bot ang Nagpakalat ng SMS Stealer Malware
Ang malware na nagnanakaw ng SMS ay kumakalat sa pamamagitan ng dalawang pangunahing paraan: malvertising at Telegram bots na nag-automate ng komunikasyon sa mga biktima.
Sa unang paraan, ang mga biktima ay ididirekta sa mga pekeng pahina ng Google Play, na nagpapakita ng napalaki na mga numero ng pag-download upang magmukhang lehitimo at makuha ang tiwala ng biktima.
Sa Telegram, nag-aalok ang mga bot ng pirated na Android application at humiling ng numero ng telepono ng biktima bago ibigay ang APK file. Ang numerong ito ay ginagamit ng bot para gumawa ng customized na APK, na nagpapagana ng personalized na pagsubaybay o mga pag-atake sa hinaharap.
Ang operasyon ay umaasa sa humigit-kumulang 2,600 Telegram bots upang ipamahagi ang iba't ibang Android APK, lahat ay pinamamahalaan ng 13 Command-and-Control (C2) server. Ang karamihan ng mga apektadong indibidwal ay nasa India at Russia, kahit na ang makabuluhang bilang ay iniulat din sa Brazil, Mexico at United States.
Paano Gumagawa ng Mga Pondo ang Mga Aktor ng Banta mula sa mga Biktima
Ipinapadala ng malware ang mga na-intercept na SMS na mensahe sa isang API endpoint sa website na 'fastsms.su.' Ang site na ito ay nag-aalok ng 'virtual' na mga numero ng telepono mula sa iba't ibang bansa, na maaaring bilhin ng mga user para sa anonymity at upang patotohanan sa mga online na platform. Malaki ang posibilidad na ang mga nakompromisong device ay ginagamit ng serbisyong ito nang hindi nalalaman ng mga biktima. Ginagamit ng malware ang mga pahintulot sa pag-access sa SMS na ipinagkaloob dito sa mga Android device para makuha ang mga OTP na kailangan para sa mga pagpaparehistro ng account at two-factor authentication.
Para sa mga biktima, maaari itong magresulta sa mga hindi awtorisadong pagsingil sa kanilang mga mobile account at potensyal na pagkakasangkot sa mga ilegal na aktibidad na natunton pabalik sa kanilang device at numero ng telepono. Para maprotektahan laban sa maling paggamit ng numero ng telepono, iwasang mag-download ng mga APK file mula sa mga source sa labas ng Google Play, iwasang magbigay ng mga hindi kinakailangang pahintulot sa mga app na may hindi nauugnay na mga function, at tiyaking naka-enable ang Play Protect sa iyong device.
Ang Daloy ng Pag-atake ng Operasyon ng SMS Stealer
Ang biktima ay naakit sa pag-install ng isang mapanlinlang na application sa pamamagitan ng mapanlinlang na mga ad na ginagaya ang mga lehitimong app store o sa pamamagitan ng mga awtomatikong Telegram bot na direktang nakikipag-ugnayan sa target (mga detalye sa ibaba).
Mga Kahilingan sa Pahintulot – Pagkakaroon ng Access
Kapag na-install na, humihiling ang mapanlinlang na application ng mga pahintulot sa pagbabasa ng SMS, isang high-risk na feature sa Android na nagbibigay-daan sa pag-access sa sensitibong personal na data. Bagama't maaaring mangailangan ng mga pahintulot sa SMS ang mga lehitimong app para sa mga partikular na function, ang kahilingan ng app na ito ay idinisenyo upang kunin ang mga pribadong text message ng biktima.
Command & Control Server Retrieval – Pakikipag-ugnayan sa Master
Pagkatapos ay kumokonekta ang banta sa Command and Control (C&C) server nito, na namamahala sa mga operasyon nito at nagtitipon ng nakolektang data. Sa una, ginamit ng malware ang Firebase upang makuha ang address ng server ng C&C ngunit mula noon ay nag-evolve na ito upang gamitin ang mga repositoryo ng Github o direktang i-embed ang address sa loob ng app.
C&C Communication – Pag-uulat Sa & Pag-upload ng Data
Pagkatapos ma-secure ang address ng server ng C&C, ang nahawaang device ay nagtatatag ng koneksyon dito. Naghahain ito ng dalawang layunin: 1) inaabisuhan ng malware ang server ng aktibong katayuan nito, at 2) gumagawa ito ng channel para magpadala ng mga nakaw na mensaheng SMS, kasama ang mahahalagang OTP code.
OTP Harvesting – Ang Tagong Kolektor
Sa huling yugto, tahimik na sinusubaybayan ng malware ang mga papasok na mensaheng SMS, na nakatuon sa pagharang sa mga OTP na ginagamit para sa online na pag-verify ng account habang nananatiling hindi natukoy.
