Зловмисне програмне забезпечення для мобільних пристроїв SMS Stealer
Глобальна кібератака, націлена на пристрої Android, використовує тисячі ботів Telegram для поширення зловмисного програмного забезпечення для крадіжки SMS і захоплення одноразових паролів 2FA (OTP) для понад 600 сервісів. Дослідники спостерігали за цією операцією з лютого 2022 року та виявили щонайменше 107 000 унікальних зразків шкідливого програмного забезпечення, пов’язаних із цією кампанією. Схоже, зловмисники керуються фінансовими стимулами, ймовірно, використовують скомпрометовані пристрої для полегшення автентифікації та підвищення анонімності.
Зміст
Тисячі Telegram-ботів поширюють зловмисне програмне забезпечення SMS Stealer
Зловмисне програмне забезпечення для крадіжки SMS поширюється двома основними методами: шкідлива реклама та роботи Telegram, які автоматизують спілкування з жертвами.
У першому методі жертви спрямовуються на підроблені сторінки Google Play, на яких відображається завищена кількість завантажень, щоб виглядати легітимними та завоювати довіру жертви.
У Telegram боти пропонують піратські програми для Android і запитують номер телефону жертви, перш ніж надати файл APK. Цей номер використовується ботом для створення налаштованого APK, що дозволяє персоналізувати відстеження або майбутні атаки.
Операція покладається на приблизно 2600 ботів Telegram для розповсюдження різноманітних Android APK, усіма керують 13 серверів командування та управління (C2). Більшість постраждалих в Індії та Росії, хоча також повідомляється про значну кількість у Бразилії, Мексиці та Сполучених Штатах.
Як суб'єкти загрози отримують кошти від жертв
Зловмисне програмне забезпечення надсилає перехоплені SMS-повідомлення до кінцевої точки API на веб-сайті fastsms.su. Цей сайт пропонує «віртуальні» телефонні номери з різних країн, які користувачі можуть придбати для анонімності та автентифікації на онлайн-платформах. Дуже ймовірно, що скомпрометовані пристрої використовуються цією службою без відома жертв. Зловмисне програмне забезпечення використовує дозволи на доступ до SMS, надані йому на пристроях Android, щоб фіксувати одноразові паролі, необхідні для реєстрації облікових записів і двофакторної автентифікації.
Для жертв це може призвести до несанкціонованого стягнення плати з їхніх мобільних рахунків і потенційної участі в незаконних діях, які відстежуються на їхньому пристрої та номері телефону. Щоб захиститися від неправильного використання номера телефону, уникайте завантаження файлів APK із джерел за межами Google Play, утримуйтесь від надання непотрібних дозволів програмам із непов’язаними функціями та переконайтеся, що на вашому пристрої ввімкнено Play Protect.
Потік атаки операції SMS Stealer
Жертву спонукають встановити шахрайську програму за допомогою оманливої реклами, яка імітує законні магазини додатків, або за допомогою автоматизованих ботів Telegram, які безпосередньо взаємодіють із ціллю (подробиці нижче).
Запити на дозвіл – отримання доступу
Після встановлення шахрайська програма запитує дозвіл на читання SMS, яка є високоризиковою функцією Android, яка дозволяє отримати доступ до конфіденційних особистих даних. У той час як законним програмам можуть знадобитися дозволи на SMS для певних функцій, запит цієї програми призначений для збору приватних текстових повідомлень жертви.
Отримання командного та контрольного сервера – Зв’язок з головним
Потім загроза з’єднується зі своїм сервером командування та контролю (C&C), який керує її діями та збирає зібрані дані. Спочатку зловмисне програмне забезпечення використовувало Firebase для отримання адреси C&C-сервера, але згодом стало використовувати репозиторії Github або вбудовувати адресу безпосередньо в додаток.
Комунікація C&C – звітування та завантаження даних
Після захисту адреси C&C сервера заражений пристрій встановлює до нього з’єднання. Це служить двом цілям: 1) зловмисне програмне забезпечення повідомляє сервер про свій активний статус і 2) воно створює канал для надсилання вкрадених SMS-повідомлень, включаючи цінні коди OTP.
OTP Harvesting – прихований збирач
На завершальному етапі зловмисне програмне забезпечення мовчки відстежує вхідні SMS-повідомлення, зосереджуючись на перехопленні одноразових паролів, які використовуються для онлайн-підтвердження облікового запису, залишаючись непоміченим.
