Campagna di furto SMS Android rilevata in 113 paesi

I ricercatori di Zimperium, un’azienda di sicurezza mobile con sede negli Stati Uniti, hanno scoperto una campagna di furto SMS su larga scala che colpisce i dispositivi Android in 113 paesi.

Questa campagna su larga scala, che Zimperium ha monitorato da febbraio 2022, ha identificato oltre 107.000 campioni unici di malware che utilizzano app Android dannose per rubare i messaggi SMS degli utenti.

Gli attori minacciosi dietro questa campagna di malware hanno utilizzato link pubblicitari dannosi e bot di Telegram per automatizzare la comunicazione con potenziali vittime.

Nel caso del malvertising, le vittime vengono attirate su pagine web false che imitano il Google Play Store, che mostrano conteggi di download gonfiati per inculcare un falso senso di fiducia e sicurezza.

D’altra parte, su Telegram, i bot si spacciavano per servizi legittimi e ingannavano le vittime facendole scaricare applicazioni dannose uniche travestite da APK legittimi (pacchetti di applicazioni Android).

Ad esempio, i bot promettono di fornire all’utente un file APK piratato per il quale richiedono all’utente di condividere il proprio numero di telefono. Questo consente all’attaccante di creare un nuovo APK per il tracciamento personalizzato o attacchi futuri.

“Con la vittima saldamente nelle mani dell’attaccante, l’attaccante ha ora la possibilità di rubare e vendere informazioni sensibili sull’utente per guadagni finanziari,” ha scritto Zimperium in un post sul blog.

Secondo Zimperium, una vasta rete di circa 2.600 bot di Telegram era collegata a questa campagna, che promuoveva vari APK Android. Inoltre, il malware utilizzava 13 server di Comando e Controllo (C&C) per rubare e divulgare messaggi SMS dai dispositivi delle vittime.

“Di quei 107.000 campioni di malware, oltre 99.000 di queste applicazioni sono/erano sconosciute e non disponibili in repository generalmente accessibili. Questo malware monitorava i messaggi di password monouso su oltre 600 marchi globali, con alcuni marchi che avevano conteggi di utenti nell’ordine delle centinaia di milioni di utenti,” ha aggiunto l’azienda di sicurezza mobile.

Le vittime di questa campagna si estendevano su 113 paesi, con Russia e India come obiettivi principali, seguite da Brasile, Messico, Stati Uniti, Ucraina, Spagna e Turchia.

Durante la sua indagine, Zimperium ha scoperto che il malware trasmette i messaggi SMS dal dispositivo infetto a un endpoint API specifico nel dominio ‘fastsms[.]su’. Fast SMS (‘fastsms[.]su’) è un sito web che consente agli utenti di acquistare accesso a numeri di telefono “virtuali” in paesi stranieri per scopi di anonimizzazione e autenticazione su varie app e servizi online.

I ricercatori ritengono che i numeri di telefono collegati ai dispositivi infetti vengano utilizzati dal servizio offerto senza la conoscenza della vittima per vari account online, poiché le autorizzazioni di accesso SMS Android richieste consentono al malware di intercettare le password monouso (OTP) necessarie per le registrazioni degli account e l’autenticazione a due fattori (2FA).

Le vittime potrebbero incorrere in addebiti non autorizzati sui propri account mobili e essere implicate in attività illecite che coinvolgono i propri dispositivi e numeri di telefono.

“La proliferazione di questo malware mobile, unita alla facilità del furto di dati (ad es. SMS, OTP), rappresenta una minaccia significativa per individui e organizzazioni. Queste credenziali rubate fungono da trampolino di lancio per ulteriori attività fraudolente, come la creazione di account falsi su servizi popolari per avviare campagne di phishing o attacchi di ingegneria sociale,” ha concluso Zimperium.

Per evitare l’abuso del numero di telefono, si invita gli utenti a non scaricare APK al di fuori del Google Play Store, negare autorizzazioni eccessive alle app con funzionalità non correlate e assicurarsi che Play Protect sia attivo sui propri dispositivi.