Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерена кампания, насочена към потребителите на Android в Индия, с цел кражба на лична и банкова информация.
Кампанията, наречена FatBoyPanel, включва използването на повече от 1000 зловредни приложения за кражба на информация и се различава от типичните мобилни зловредни кампании, тъй като използва живи телефонни номера за пренасочване на текстови съобщения, вместо сървъри за управление и контрол (C&C) за кражба на еднократни пароли (OTP).
Според Zimperium атаките са организирани от един-единствен колектив, който е използвал приблизително 1000 телефонни номера за събиране на потребителска информация. Компанията също така е идентифицирала около 900 образци на зловреден софтуер, свързани с кампанията, които са насочени предимно към потребителите на индийски банки.
„Анализът на събраните образци разкрива общи структури на кода, елементи на потребителския интерфейс и лога на приложенията, което предполага координирани усилия на един-единствен колектив, насочени към мобилни устройства с операционна система Android“, заяви Zimperium в изследователска бележка.
Компанията заяви, че е открила повече от 220 публично достъпни бъкети за съхранение на Firebase, в които колективът е съхранил 2,5 гигабайта информация, като например SMS съобщения от банки, данни за карти и банкови сметки и данни за държавни документи за самоличност, и изчислява, че са били компрометирани 50 000 потребители.
Кампанията е разчитала на WhatsApp за разпространението на APK файлове, представящи се за правителствени или банкови приложения, но които вместо това са инсталирали зловреден софтуер, подмамвайки потребителите да разкрият чувствителната си информация.
„Зловредният софтуер се възползва от разрешенията за SMS, за да прихваща и екфилтрира съобщения, включително OTP, улеснявайки неоторизирани трансакции. Освен това той използва скрити техники, за да скрие иконата си и да се противопостави на деинсталирането, като осигурява постоянство на компрометираните устройства“, заяви Zimperium.
Компютърът заяви, че зловредното приложение ексфилтрира жертвите чрез улавяне и препращане на SMS съобщения, чрез изпращане на откраднатите съобщения до бази данни Firebase, действащи като C&C сървъри, или чрез комбиниране на двете техники.
Приложенията разполагат с твърдо кодирани телефонни номера, към които ексфилтрират OTP и SMS съобщения, „което предполага, че тези номера са или директно контролирани от нападателите, или принадлежат на компрометирани лица под техен контрол“.
Фирмата за киберсигурност също така откри, че базите данни на Firebase, съхраняващи откраднатата информация, нямат механизъм за удостоверяване, което означава, че са достъпни за всеки, разкривайки данните на администратора и телефонните номера, използвани за ексфилтрация.
Чрез достъп до административното табло на нападателите Zimperium откри телефонните номера, използвани при атаките, и заключи, че това е позволило на множество потребители да управляват кампанията. Zimperium проследи твърдо кодираните телефонни номера до конкретни региони в Индия, като Западна Бенгалия, Бихар и Джаркханд.
