Campanha de Roubo de SMS no Android Detectada em 113 Países

Pesquisadores da Zimperium, uma empresa de segurança móvel com sede nos EUA, descobriram uma campanha em larga escala de roubo de SMS afetando dispositivos Android em 113 países.

Esta campanha em larga escala, que a Zimperium rastreia desde fevereiro de 2022, identificou mais de 107.000 amostras únicas de malware que usam aplicativos Android maliciosos para roubar mensagens SMS dos usuários.

Os atores de ameaça por trás desta campanha de malware usaram links de anúncios maliciosos e bots do Telegram para automatizar a comunicação com potenciais vítimas.

No caso de malvertising, as vítimas são atraídas para páginas da web falsas imitando a Google Play Store, que exibem contagens de download inflacionadas para incutir uma falsa sensação de confiança e segurança.

Por outro lado, no Telegram, os bots se passaram por serviços legítimos e enganaram as vítimas para baixar aplicativos maliciosos únicos disfarçados como APKs legítimos (pacotes de aplicativos Android).

Por exemplo, os bots prometem fornecer ao usuário um arquivo APK pirateado para o qual solicitam que o usuário compartilhe seu número de telefone. Isso permite que o atacante crie um novo APK para rastreamento personalizado ou ataques futuros.

“Com a vítima firmemente nas garras do atacante, o atacante agora tem a capacidade de roubar e vender informações sensíveis sobre o usuário para ganho financeiro”, escreveu a Zimperium em um post no blog.

De acordo com a Zimperium, uma vasta rede de aproximadamente 2.600 bots do Telegram estava ligada a esta campanha, que promovia vários APKs Android. Além disso, o malware usou 13 servidores de Comando e Controle (C&C) para roubar e vazar mensagens SMS de dispositivos vítimas.

“Dessas 107.000 amostras de malware, mais de 99.000 desses aplicativos são/eram desconhecidos e indisponíveis em repositórios geralmente disponíveis. Este malware estava monitorando mensagens de senha de uso único em mais de 600 marcas globais, com algumas marcas tendo contagens de usuários na casa das centenas de milhões de usuários”, acrescentou a empresa de segurança móvel.

As vítimas desta campanha se espalharam por 113 países, com a Rússia e a Índia sendo os principais alvos, seguidos pelo Brasil, México, EUA, Ucrânia, Espanha e Turquia.

Durante sua investigação, a Zimperium descobriu que o malware transmite mensagens SMS do dispositivo infectado para um endpoint API específico no domínio ‘fastsms[.]su’. O Fast SMS (‘fastsms[.]su’) é um site que permite aos usuários comprar acesso a números de telefone “virtuais” em países estrangeiros para fins de anonimização e autenticação em vários aplicativos e serviços online.

Os pesquisadores acreditam que os números de telefone vinculados aos dispositivos infectados estão sendo usados pelo serviço oferecido sem o conhecimento da vítima para várias contas online, uma vez que as permissões de acesso a SMS do Android solicitadas permitem que o malware intercepte senhas de uso único (OTPs) necessárias para registros de contas e autenticação de dois fatores (2FA).

As vítimas podem incorrer em cobranças não autorizadas em suas contas móveis e ser implicadas em atividades ilícitas envolvendo seus dispositivos e números de telefone.

“A proliferação deste malware móvel, juntamente com a facilidade de roubo de dados (por exemplo, SMS, OTPs), representa uma ameaça significativa tanto para indivíduos quanto para organizações. Essas credenciais roubadas servem como um trampolim para atividades fraudulentas adicionais, como criar contas falsas em serviços populares para lançar campanhas de phishing ou ataques de engenharia social”, concluiu a Zimperium.

Para evitar o uso indevido do número de telefone, os usuários são aconselhados a não baixar APKs fora da Google Play Store, negar permissões excessivas de aplicativos com funcionalidades não relacionadas e garantir que o Play Protect esteja ativo em seus dispositivos.