Phần mềm độc hại di động SMS Stealer
Một cuộc tấn công mạng toàn cầu nhằm vào các thiết bị Android sử dụng hàng nghìn bot Telegram để phát tán phần mềm độc hại đánh cắp SMS và lấy mật khẩu 2FA một lần (OTP) cho hơn 600 dịch vụ. Các nhà nghiên cứu đã theo dõi hoạt động này kể từ tháng 2 năm 2022 và đã xác định được ít nhất 107.000 mẫu phần mềm độc hại duy nhất có liên quan đến chiến dịch. Những kẻ tấn công dường như bị thúc đẩy bởi các động cơ tài chính, có khả năng sử dụng các thiết bị bị xâm nhập để tạo điều kiện xác thực và nâng cao tính ẩn danh.
Mục lục
Hàng ngàn Bot Telegram phát tán phần mềm độc hại đánh cắp SMS
Phần mềm độc hại đánh cắp SMS lây lan qua hai phương pháp chính: quảng cáo độc hại và bot Telegram tự động liên lạc với nạn nhân.
Trong phương pháp đầu tiên, nạn nhân được dẫn đến các trang Google Play giả mạo, hiển thị số lượng tải xuống tăng cao để có vẻ hợp pháp và lấy lòng tin của nạn nhân.
Trên Telegram, các bot cung cấp các ứng dụng Android lậu và yêu cầu số điện thoại của nạn nhân trước khi cung cấp tệp APK. Số này được bot sử dụng để tạo APK tùy chỉnh, cho phép theo dõi được cá nhân hóa hoặc các cuộc tấn công trong tương lai.
Hoạt động này dựa trên khoảng 2.600 bot Telegram để phân phối các APK Android khác nhau, tất cả đều được quản lý bởi 13 máy chủ Ra lệnh và Kiểm soát (C2). Phần lớn các cá nhân bị ảnh hưởng là ở Ấn Độ và Nga, mặc dù số lượng đáng kể cũng được báo cáo ở Brazil, Mexico và Hoa Kỳ.
Cách các tác nhân đe dọa tạo tiền từ nạn nhân
Phần mềm độc hại gửi tin nhắn SMS bị chặn đến điểm cuối API trên trang web 'fastsms.su.' Trang web này cung cấp số điện thoại 'ảo' từ nhiều quốc gia khác nhau mà người dùng có thể mua để ẩn danh và xác thực trên nền tảng trực tuyến. Rất có khả năng các thiết bị bị xâm nhập đang được dịch vụ này sử dụng mà nạn nhân không hề hay biết. Phần mềm độc hại lợi dụng quyền truy cập SMS được cấp trên thiết bị Android để lấy OTP cần thiết cho việc đăng ký tài khoản và xác thực hai yếu tố.
Đối với nạn nhân, điều này có thể dẫn đến các khoản phí trái phép trên tài khoản di động của họ và có khả năng liên quan đến các hoạt động bất hợp pháp bắt nguồn từ thiết bị và số điện thoại của họ. Để bảo vệ khỏi việc lạm dụng số điện thoại, hãy tránh tải xuống tệp APK từ các nguồn bên ngoài Google Play, hạn chế cấp các quyền không cần thiết cho các ứng dụng có chức năng không liên quan và đảm bảo rằng Play Protect được bật trên thiết bị của bạn.
Luồng tấn công của hoạt động đánh cắp SMS
Nạn nhân bị dụ dỗ cài đặt một ứng dụng gian lận thông qua các quảng cáo gây hiểu lầm bắt chước các cửa hàng ứng dụng hợp pháp hoặc thông qua các bot Telegram tự động tương tác trực tiếp với mục tiêu (chi tiết bên dưới).
Yêu cầu cấp phép – Giành quyền truy cập
Sau khi được cài đặt, ứng dụng lừa đảo sẽ yêu cầu quyền đọc SMS, một tính năng có rủi ro cao trên Android cho phép truy cập vào dữ liệu cá nhân nhạy cảm. Mặc dù các ứng dụng hợp pháp có thể cần quyền SMS cho các chức năng cụ thể nhưng yêu cầu của ứng dụng này được thiết kế để thu thập tin nhắn văn bản riêng tư của nạn nhân.
Truy xuất máy chủ Command & Control – Liên hệ với Master
Sau đó, mối đe dọa sẽ kết nối với máy chủ Chỉ huy và Kiểm soát (C&C), máy chủ này sẽ chỉ đạo các hoạt động của nó và thu thập dữ liệu được thu thập. Ban đầu, phần mềm độc hại sử dụng Firebase để lấy địa chỉ máy chủ C&C nhưng sau đó đã phát triển để sử dụng kho lưu trữ Github hoặc nhúng địa chỉ trực tiếp vào ứng dụng.
Giao tiếp C&C – Báo cáo và tải lên dữ liệu
Sau khi bảo mật địa chỉ máy chủ C&C, thiết bị bị nhiễm sẽ thiết lập kết nối với nó. Điều này phục vụ hai mục đích: 1) phần mềm độc hại thông báo cho máy chủ về trạng thái hoạt động của nó và 2) nó tạo một kênh để gửi tin nhắn SMS bị đánh cắp, bao gồm cả mã OTP có giá trị.
Thu thập OTP – Người thu thập bí mật
Ở giai đoạn cuối, phần mềm độc hại âm thầm giám sát các tin nhắn SMS đến, tập trung vào việc chặn OTP được sử dụng để xác minh tài khoản trực tuyến mà không bị phát hiện.
