簡訊竊取行動惡意軟體

針對 Android 裝置的全球網路攻擊使用了數千個 Telegram 機器人來傳播簡訊竊取惡意軟體並捕獲 600 多項服務的一次性 2FA 密碼 (OTP)。研究人員自 2022 年 2 月以來一直在監控這項行動，並已識別出至少 107,000 個與該活動相關的獨特惡意軟體樣本。攻擊者似乎受到經濟動機的驅動，可能使用受感染的設備來促進身份驗證並增強匿名性。

數千個 Telegram 機器人傳播簡訊竊取惡意軟體

簡訊竊取惡意軟體主要透過兩種方式傳播：惡意廣告和自動與受害者溝通的 Telegram 機器人。

在第一種方法中，受害者被引導至虛假的 Google Play 頁面，該頁面顯示誇大的下載量，以顯得合法並贏得受害者的信任。

在 Telegram 上，機器人提供盜版 Android 應用程序，並在提供 APK 檔案之前請求受害者的電話號碼。機器人使用此數字創建自訂 APK，從而實現個人化追蹤或未來的攻擊。

該行動依靠大約 2,600 個 Telegram 機器人來分發各種 Android APK，全部由 13 個命令與控制 (C2) 伺服器管理。大多數受影響者位於印度和俄羅斯，但巴西、墨西哥和美國也報告有大量受影響者。

威脅行為者如何從受害者籌集資金

該惡意軟體將截獲的 SMS 訊息傳送至「fastsms.su」網站上的 API 端點。該網站提供來自不同國家的「虛擬」電話號碼，用戶可以匿名購買這些電話號碼並在線上平台上進行身份驗證。該服務很可能在受害者不知情的情況下使用了受感染的設備。該惡意軟體利用 Android 裝置上授予它的 SMS 存取權限來捕獲帳戶註冊和兩因素身份驗證所需的 OTP。

對於受害者來說，這可能會導致他們的行動帳戶遭受未經授權的收費，並可能參與可追溯到他們的設備和電話號碼的非法活動。為了防止電話號碼被濫用，請避免從 Google Play 以外的來源下載 APK 文件，不要向具有不相關功能的應用程式授予不必要的權限，並確保在您的裝置上啟用 Play Protect。

簡訊竊取操作的攻擊流程

透過模仿合法應用程式商店的誤導性廣告或透過直接與目標互動的自動化 Telegram 機器人，誘騙受害者安裝詐欺性應用程式（詳情如下）。

權限請求 – 取得存取權限

安裝後，詐騙應用程式會要求簡訊讀取權限，這是 Android 上的高風險功能，允許存取敏感的個人資料。雖然合法應用程式可能需要特定功能的簡訊權限，但該應用程式的請求旨在獲取受害者的私人簡訊。

命令與控制伺服器檢索 – 聯絡主站

然後，威脅連接到其命令與控制 (C&C) 伺服器，該伺服器指導其操作並收集收集的資料。最初，該惡意軟體使用 Firebase 來取得 C&C 伺服器位址，但後來演變為使用 Github 儲存庫或直接將位址嵌入到應用程式中。

C&C Communication – 報告和上傳數據

保護 C&C 伺服器位址後，受感染的裝置會與其建立連線。這有兩個目的：1) 惡意軟體通知伺服器其活動狀態，2) 建立一個通道來傳送被盜的 SMS 訊息，包括有價值的 OTP 程式碼。

OTP 收穫 – 秘密收集者

在最後階段，惡意軟體會默默地監視傳入的 SMS 訊息，重點攔截用於線上帳戶驗證的 OTP，同時保持不被發現。