短信窃取者移动恶意软件

针对 Android 设备的全球网络攻击利用数千个 Telegram 机器人传播窃取短信的恶意软件并获取 600 多种服务的一次性 2FA 密码 (OTP)。研究人员自 2022 年 2 月以来一直在监控此操作，并已发现至少 107,000 个与该活动相关的独特恶意软件样本。攻击者似乎受到经济利益的驱使，可能使用受感染的设备来促进身份验证并增强匿名性。

数千个 Telegram 机器人传播短信窃取恶意软件

窃取短信的恶意软件主要通过两种方式传播：恶意广告和自动与受害者通信的 Telegram 机器人。

在第一种方法中，受害者会被引导至虚假的 Google Play 页面，这些页面会显示夸大的下载数量以显得合法并赢得受害者的信任。

在 Telegram 上，机器人会提供盗版 Android 应用程序，并在提供 APK 文件之前要求受害者提供电话号码。机器人会使用此号码创建自定义 APK，以便进行个性化跟踪或未来攻击。

该行动依靠大约 2,600 个 Telegram 机器人来分发各种 Android APK，所有 APK 均由 13 个命令和控制 (C2) 服务器管理。大多数受影响的个人位于印度和俄罗斯，但巴西、墨西哥和美国也有相当多的人受到影响。

威胁者如何从受害者那里获取资金

该恶意软件将拦截的短信发送到网站“fastsms.su”上的 API 端点。该网站提供来自不同国家的“虚拟”电话号码，用户可以购买这些号码以匿名并在在线平台上进行身份验证。受感染的设备很可能在受害者不知情的情况下被该服务使用。该恶意软件利用 Android 设备上授予的短信访问权限来捕获帐户注册和双因素身份验证所需的 OTP。

对于受害者来说，这可能会导致他们的移动账户被未经授权扣款，并可能卷入可追溯到其设备和电话号码的非法活动。为了防止电话号码被滥用，请避免从 Google Play 以外的来源下载 APK 文件，不要向具有不相关功能的应用授予不必要的权限，并确保您的设备上已启用 Play Protect。

短信窃取程序的攻击流程

通过模仿合法应用商店的误导性广告或与目标直接交互的自动 Telegram 机器人诱骗受害者安装欺诈性应用程序（详情如下）。

权限请求 – 获取访问权限

安装后，该欺诈应用程序会请求短信读取权限，这是 Android 上的一项高风险功能，允许访问敏感的个人数据。虽然合法应用程序可能需要短信权限才能实现特定功能，但此应用程序的请求旨在窃取受害者的私人短信。

命令与控制服务器检索 – 联系主服务器

然后，威胁会连接到其命令和控制 (C&C) 服务器，该服务器指挥其操作并收集收集到的数据。最初，该恶意软件使用 Firebase 获取 C&C 服务器地址，但后来演变为使用 Github 存储库或将地址直接嵌入应用程序中。

C＆C 通信 – 报告和上传数据

在确保 C&C 服务器地址安全后，受感染的设备会与其建立连接。这有两个目的：1) 恶意软件会通知服务器其活动状态；2) 创建发送被盗短信（包括有价值的 OTP 代码）的渠道。

OTP 收集——隐秘收集者

在最后阶段，恶意软件会悄悄监视传入的短信，重点拦截用于在线帐户验证的 OTP，同时不被发现。