Campagne de vol de SMS Android détectée dans 113 pays

Les chercheurs de Zimperium, une entreprise de sécurité mobile basée aux États-Unis, ont découvert une campagne de vol de SMS à grande échelle affectant les appareils Android dans 113 pays.

Cette campagne à grande échelle, que Zimperium suit depuis février 2022, a identifié plus de 107 000 échantillons de logiciels malveillants uniques utilisant des applications Android malveillantes pour voler les messages SMS des utilisateurs.

Les acteurs de la menace derrière cette campagne de logiciels malveillants ont utilisé des liens publicitaires malveillants et des bots Telegram pour automatiser la communication avec les victimes potentielles.

Dans le cas du malvertising, les victimes sont attirées vers de fausses pages web imitant le Google Play Store, qui affichent des comptes de téléchargement gonflés pour inculquer un faux sentiment de confiance et de sécurité.

D’autre part, sur Telegram, les bots se faisaient passer pour des services légitimes et trompaient les victimes en leur faisant télécharger des applications malveillantes uniques déguisées en APK légitimes (paquets d’applications Android).

Par exemple, les bots promettent de fournir à l’utilisateur un fichier APK piraté pour lequel ils demandent à l’utilisateur de partager son numéro de téléphone. Cela permet à l’attaquant de créer un nouvel APK pour un suivi personnalisé ou de futures attaques.

« Avec la victime fermement dans les griffes de l’attaquant, l’attaquant a maintenant la capacité de voler et de vendre des informations sensibles sur l’utilisateur à des fins financières », a écrit Zimperium dans un article de blog.

Selon Zimperium, un vaste réseau d’environ 2 600 bots Telegram était lié à cette campagne, qui promouvait divers APK Android. De plus, le logiciel malveillant utilisait 13 serveurs de Commande et Contrôle (C&C) pour voler et divulguer des messages SMS des appareils victimes.

« Parmi ces 107 000 échantillons de logiciels malveillants, plus de 99 000 de ces applications sont/étaient inconnues et indisponibles dans des dépôts généralement accessibles. Ce logiciel malveillant surveillait les messages de mots de passe à usage unique à travers plus de 600 marques mondiales, certaines marques ayant des comptes utilisateurs comptant des centaines de millions d’utilisateurs », a ajouté la société de sécurité mobile.

Les victimes de cette campagne s’étendaient sur 113 pays, la Russie et l’Inde étant les principales cibles, suivies par le Brésil, le Mexique, les États-Unis, l’Ukraine, l’Espagne et la Turquie.

Au cours de son enquête, Zimperium a découvert que le logiciel malveillant transmet des messages SMS de l’appareil infecté à un point de terminaison API spécifique au domaine ‘fastsms[.]su’. Fast SMS (‘fastsms[.]su’) est un site web qui permet aux utilisateurs d’acheter l’accès à des numéros de téléphone « virtuels » dans des pays étrangers à des fins d’anonymisation et d’authentification sur diverses applications et services en ligne.

Les chercheurs estiment que les numéros de téléphone liés aux appareils infectés sont utilisés par le service proposé sans la connaissance de la victime pour divers comptes en ligne, car les autorisations d’accès SMS Android demandées permettent au logiciel malveillant d’intercepter les mots de passe à usage unique (OTP) nécessaires pour les enregistrements de compte et l’authentification à deux facteurs (2FA).

Les victimes pourraient encourir des frais non autorisés sur leurs comptes mobiles et être impliquées dans des activités illicites impliquant leurs appareils et numéros de téléphone.

« La prolifération de ce logiciel malveillant mobile, couplée à la facilité du vol de données (par exemple, SMS, OTP), représente une menace significative tant pour les individus que pour les organisations. Ces identifiants volés servent de tremplin pour d’autres activités frauduleuses, telles que la création de faux comptes sur des services populaires pour lancer des campagnes de phishing ou des attaques d’ingénierie sociale », a conclu Zimperium.

Pour éviter l’utilisation abusive des numéros de téléphone, les utilisateurs sont invités à éviter les téléchargements d’APK en dehors du Google Play Store, à refuser les autorisations excessives des applications sans fonctionnalité connexe, et à s’assurer que Play Protect est actif sur leurs appareils.