Kenkėjiška kampanija, nukreipta į „Android“ įrenginius visame pasaulyje, naudoja tūkstančius „Telegram“ robotų, kad užkrėstų įrenginius SMS vagiančia kenkėjiška programa ir pavogtų vienkartinius 2FA slaptažodžius (OTP) daugiau nei 600 paslaugų.
„Zimperium“ tyrėjai atrado operaciją ir ją stebi nuo 2022 m. vasario mėn. Jie praneša radę mažiausiai 107 000 skirtingų su kampanija susijusių kenkėjiškų programų pavyzdžių.
Kibernetinius nusikaltėlius skatina finansinė nauda, greičiausiai jie naudoja užkrėstus įrenginius kaip autentifikavimo ir anonimiškumo perdavimo priemones.
Telegramos įstrigimas
SMS vagis platinamas per kenkėjišką reklamą arba „Telegram“ robotus, kurie automatizuoja ryšį su auka.
Pirmuoju atveju aukos nukreipiamos į puslapius, imituojančius „Google Play“, pranešančius apie padidintą atsisiuntimų skaičių, kad būtų suteiktas teisėtumas ir sukuriamas klaidingas pasitikėjimo jausmas.
Telegramoje robotai žada suteikti vartotojui piratinę „Android“ platformos programą ir paprašyti jų telefono numerio prieš bendrinant APK failą.
„Telegram“ robotas naudoja šį numerį naujam APK generavimui, kad būtų galima suasmeninti stebėjimą arba ateities atakas.
„Zimperium“ teigia, kad operacija naudoja 2 600 „Telegram“ robotų, skirtų įvairiems „Android“ APK, kuriuos valdo 13 komandų ir valdymo (C2) serverių.
Dauguma šios kampanijos aukų yra Indijoje ir Rusijoje, o Brazilija, Meksika ir JAV taip pat turi daug aukų.
Pinigų generavimas
„Zimperium“ nustatė, kad kenkėjiška programa perduoda užfiksuotas SMS žinutes į konkretų API galutinį tašką svetainėje „fastsms.su“.
Svetainėje lankytojai gali įsigyti prieigą prie „virtualių“ telefono numerių užsienio šalyse, kuriuos jie gali naudoti anonimizuoti ir autentifikuoti internetinėse platformose ir paslaugose.
Labai tikėtina, kad užkrėstais įrenginiais ta tarnyba aktyviai naudojasi, nukentėjusiesiems to nežinant.
Prašomi Android SMS prieigos leidimai leidžia kenkėjiškajai programai užfiksuoti vienkartinius slaptažodžius, reikalingus paskyros registracijai ir dviejų veiksnių autentifikavimui.
„BleepingComputer“ susisiekė su „Fast SMS“ tarnyba, kad paklaustų apie „Zimperium“ išvadas, tačiau atsakymas nebuvo paskelbtas.
Aukoms tai gali būti neteisėtai apmokestinama jų mobiliojo ryšio paskyra, o jos taip pat gali būti susijusios su neteisėta veikla, atsekama pagal jų įrenginį ir numerį.
Kad išvengtumėte piktnaudžiavimo telefono numeriu, neatsisiųskite APK failų iš ne „Google Play“, nesuteikite rizikingų leidimų programoms su nesusijusiomis funkcijomis ir įsitikinkite, kad jūsų įrenginyje yra aktyvi „Play Protect“.