Обнаружена кампания по краже SMS на Android в 113 странах

Исследователи компании Zimperium, основанной в США и занимающейся мобильной безопасностью, обнаружили масштабную кампанию по краже SMS, затрагивающую устройства Android в 113 странах.

Эта масштабная кампания, которую Zimperium отслеживает с февраля 2022 года, выявила более 107 000 уникальных образцов вредоносного ПО, использующих вредоносные Android-приложения для кражи SMS-сообщений пользователей.

Угроза, стоящая за этой кампанией вредоносного ПО, использовала вредоносные рекламные ссылки и боты Telegram для автоматизации общения с потенциальными жертвами.

В случае с вредоносной рекламой жертвы заманиваются на поддельные веб-страницы, имитирующие Google Play Store, которые отображают завышенные показатели загрузок, чтобы внушить ложное чувство доверия и безопасности.

С другой стороны, в Telegram боты выдавали себя за легитимные сервисы и обманывали жертв, заставляя их загружать уникальные вредоносные приложения, замаскированные под легитимные APK (пакеты приложений Android).

Например, боты обещают предоставить пользователю пиратский APK-файл, для чего они просят пользователя поделиться своим номером телефона. Это позволяет злоумышленнику создать новый APK для персонализированного отслеживания или будущих атак.

«С жертвой, крепко попавшей в лапы злоумышленника, у него теперь есть возможность красть и продавать конфиденциальную информацию о пользователе для финансовой выгоды», — написала Zimperium в блоге.

Согласно Zimperium, обширная сеть из примерно 2600 ботов Telegram была связана с этой кампанией, которая продвигала различные Android APK. Кроме того, вредоносное ПО использовало 13 серверов командования и управления (C&C) для кражи и утечки SMS-сообщений с устройств жертв.

«Из этих 107 000 образцов вредоносного ПО более 99 000 этих приложений являются/были неизвестными и недоступными в общедоступных репозиториях. Это вредоносное ПО отслеживало сообщения одноразовых паролей (OTP) более чем у 600 глобальных брендов, некоторые из которых имели количество пользователей в сотнях миллионов», — добавила компания мобильной безопасности.

Жертвы этой кампании охватывали 113 стран, при этом основными целями были Россия и Индия, за ними следовали Бразилия, Мексика, США, Украина, Испания и Турция.

Во время своего расследования Zimperium обнаружила, что вредоносное ПО передает SMS-сообщения с зараженного устройства на конкретную конечную точку API на домене ‘fastsms[.]su’. Fast SMS (‘fastsms[.]su’) — это веб-сайт, который позволяет пользователям приобретать доступ к «виртуальным» номерам телефонов в иностранных странах для анонимизации и аутентификации на различных онлайн-приложениях и сервисах.

Исследователи считают, что номера телефонов, связанные с зараженными устройствами, используются сервисом, предлагающимся без ведома жертвы для различных онлайн-аккаунтов, так как запрашиваемые разрешения на доступ к SMS на Android позволяют вредоносному ПО перехватывать одноразовые пароли (OTP), необходимые для регистрации аккаунтов и двухфакторной аутентификации (2FA).

Жертвы могут понести несанкционированные расходы на своих мобильных счетах и быть вовлечены в незаконные действия, связанные с их устройствами и номерами телефонов.

«Распространение этого мобильного вредоносного ПО, в сочетании с легкостью кражи данных (например, SMS, OTP), представляет собой значительную угрозу как для отдельных лиц, так и для организаций. Эти украденные учетные данные служат трамплином для дальнейших мошеннических действий, таких как создание поддельных аккаунтов на популярных сервисах для запуска фишинговых кампаний или атак социальной инженерии», — заключила Zimperium.

Чтобы избежать злоупотребления номерами телефонов, пользователям настоятельно рекомендуется не загружать APK вне Google Play Store, отказывать в чрезмерных разрешениях приложений с несвязанной функциональностью и убедиться, что Play Protect активирован на их устройствах.