O campanie malițioasă care vizează dispozitive Android la nivel mondial folosește mii de roboți Telegram pentru a infecta dispozitivele cu malware de furt de SMS și pentru a fura parole OTP (one-time password) pentru peste 600 de servicii.
Cercetătorii de la Zimperium au descoperit operațiunea și au monitorizat-o începând din februarie 2022. Aceștia raportează că au găsit cel puțin 107.000 de mostre distincte de malware asociate cu campania.
Criminalii cibernetici sunt motivați de câștig financiar, cel mai probabil folosind dispozitivele infectate ca releuri de autentificare și anonimizare.
Furtul de SMS este distribuit fie prin malvertising, fie prin roboții Telegram care automatizează comunicarea cu victima.
În primul caz, victimele sunt direcționate către pagini care imită Google Play, raportând numărul de descărcări umflate pentru a adăuga legitimitate și a crea un fals sentiment de încredere.
Pe Telegram, roboții promit să ofere utilizatorului o aplicație piratată pentru platforma Android, cerându-le numărul de telefon înainte de a partaja fișierul APK.
Roboțul Telegram folosește acel număr pentru a genera un nou APK, făcând posibilă urmărirea personalizată sau atacuri viitoare.
Zimperium spune că operațiunea folosește 2.600 de roboți Telegram pentru a promova diverse APK-uri Android, care sunt controlate de 13 servere de comandă și control (C2).
Cei mai mulți dintre victimele acestei campanii sunt localizate în India și Rusia, în timp ce Brazilia, Mexic și Statele Unite au, de asemenea, un număr semnificativ de victime.
Zimperium a descoperit că malware-ul transmite mesajele SMS capturate către un endpoint API specific de pe site-ul ‘fastsms.su’.
Site-ul permite vizitatorilor să achiziționeze acces la numere de telefon ‘virtuale’ în țări străine, pe care le pot folosi pentru anonimizare și autentificare pe platforme și servicii online.
Este foarte probabil ca dispozitivele infectate să fie folosite activ de acel serviciu fără ca victimele să știe.
Permisiunile de acces la SMS ale Android-ului solicitate permit malware-ului să captureze OTP-urile necesare pentru înregistrările de cont și autentificarea în doi pași.
BleepingComputer a contactat serviciul Fast SMS pentru a întreba despre concluziile Zimperium, dar un răspuns nu era disponibil la momentul publicării.
Pentru victime, aceasta poate implica taxe neautorizate pe contul lor de telefonie mobilă, în timp ce acestea ar putea fi implicate și în activități ilegale care pot fi urmărite înapoi la dispozitivul și numărul lor.
Pentru a evita abuzul de număr de telefon, evitați descărcarea fișierelor APK din afara Google Play, nu acordați permisiuni riskante aplicațiilor cu funcționalități nelegate și asigurați-vă că Play Protect este activ pe dispozitivul dumneavoastră.
Spionajul Android ‘Mandrake’ ascuns în aplicații de pe Google Play începând din 2022
Zero-day-ul Telegram a permis trimiterea de APK-uri Android malițioase ca videoclipuri
Noile variante de malware Medusa vizează utilizatorii Android din șapte țări
Peste 90 de aplicații Android malițioase cu 5,5 milioane de instalări găsite pe Google Play
Telefoanele din seria Google Pixel 6 s-au blocat după resetarea de fabrică
Leave a Reply