Злонамерена кампания, насочена към устройства с Android в цял свят, използва хиляди ботове в Telegram, за да зарази устройствата със зловреден софтуер за кражба на SMS-и и да открадне еднократни пароли за 2FA (OTP) за над 600 услуги.
Изследователите на Zimperium са открили операцията и я проследяват от февруари 2022 г. насам. Те съобщават, че са открили поне 107 000 различни образци на зловреден софтуер, свързани с кампанията.
Киберпрестъпниците са мотивирани от финансова изгода, като най-вероятно използват заразените устройства като ретранслатори за удостоверяване и анонимизиране.
Крадецът на SMS-и се разпространява или чрез злонамерена реклама, или чрез ботове на Telegram, които автоматизират комуникацията с жертвата.
В първия случай жертвите се насочват към страници, имитиращи Google Play, които съобщават завишен брой изтегляния, за да добавят легитимност и да създадат фалшиво чувство за доверие.
В Telegram ботовете обещават да дадат на потребителя пиратско приложение за платформата Android, като искат телефонния му номер, преди да споделят APK файла.
Ботът в Telegram използва този номер, за да генерира нов APK файл, което прави възможно персонализирано проследяване или бъдещи атаки.
Zimperium твърди, че операцията използва 2600 бота Telegram за популяризиране на различни APK файлове за Android, които се контролират от 13 сървъра за командване и контрол (C2).
Повечето от жертвите на тази кампания се намират в Индия и Русия, докато Бразилия, Мексико и САЩ също имат значителен брой жертви. Жертвите са от общо 113 страни, сред които и България.
Zimperium установява, че зловредният софтуер предава заловените SMS съобщения към определена API крайна точка на уебсайта „fastsms.su“.
Сайтът позволява на посетителите да закупят достъп до „виртуални“ телефонни номера в чужди държави, които могат да използват за анонимизиране и за удостоверяване на самоличността в онлайн платформи и услуги.
Много е вероятно заразените устройства да се използват активно от тази услуга, без жертвите да знаят това.
Исканите разрешения за SMS достъп до Android позволяват на зловредния софтуер да улавя OTP, необходими за регистрация на акаунти и двуфакторно удостоверяване.
За жертвите това може да доведе до неоторизирани такси по мобилния им акаунт, като същевременно могат да бъдат въвлечени в незаконни дейности, проследени до тяхното устройство и номер.
За да избегнете злоупотреба с телефонни номера, избягвайте да изтегляте APK файлове извън Google Play, не предоставяйте рискови разрешения на приложения с несвързани функции и се уверете, че Play Protect е активен на вашето устройство.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.