Μια κακόβουλη καμπάνια που στοχεύει συσκευές Android παγκοσμίως, χρησιμοποιεί χιλιάδες Telegram bot για να μολύνει συσκευές με κακόβουλο λογισμικό SMS stealer και να κλέβει μεμονωμένους κωδικούς πρόσβασης 2FA (OTP) για περισσότερες από 600 υπηρεσίες.
Δείτε επίσης: Το Android malware PixPirate χρησιμοποιεί νέα τακτική απόκρυψης
Οι ερευνητές της Zimperium ανακάλυψαν την καμπάνια και την παρακολουθούν από τον Φεβρουάριο του 2022. Αναφέρουν ότι βρήκαν τουλάχιστον 107.000 διαφορετικά δείγματα malware που σχετίζονται με την καμπάνια.
Οι κυβερνοεγκληματίες υποκινούνται από το οικονομικό κέρδος, χρησιμοποιώντας πιθανότατα μολυσμένες συσκευές ως αναμεταδότες ελέγχου ταυτότητας και ανωνυμοποίησης. Το SMS stealer διανέμεται σε συσκευές Android είτε μέσω κακόβουλης διαφήμισης είτε μέσω Telegram bot που αυτοματοποιούν την επικοινωνία με το θύμα.
Στην πρώτη περίπτωση, τα θύματα οδηγούνται σε σελίδες που μιμούνται το Google Play, που αναφέρουν μεγάλους αριθμούς λήψεων για να προσθέσουν νομιμότητα και να δημιουργήσουν μια ψευδή αίσθηση εμπιστοσύνης.
Στο Telegram, τα bots υπόσχονται να δώσουν στον χρήστη μια πειρατική εφαρμογή για την πλατφόρμα Android, ζητώντας τον αριθμό τηλεφώνου του πριν κοινοποιήσουν το αρχείο APK. Το bot Telegram χρησιμοποιεί αυτόν τον αριθμό για να δημιουργήσει ένα νέο APK, καθιστώντας δυνατή την εξατομικευμένη παρακολούθηση ή μελλοντικές επιθέσεις.
Η Zimperium λέει ότι η καμπάνια χρησιμοποιεί 2.600 Telegram bot για την προώθηση διαφόρων Android APK, τα οποία ελέγχονται από 13 διακομιστές εντολών και ελέγχου (C2). Τα περισσότερα από τα θύματα αυτής της εκστρατείας βρίσκονται στην Ινδία και τη Ρωσία, ενώ η Βραζιλία, το Μεξικό και οι Ηνωμένες Πολιτείες έχουν επίσης σημαντικό αριθμό θυμάτων.
Δείτε ακόμα: FjordPhantom: Το Android malware χρησιμοποιεί εικονικοποίηση για να αποφύγει την ανίχνευση
Δημιουργία εσόδων
Η Zimperium διαπίστωσε ότι το κακόβουλο λογισμικό SMS stealer, μεταδίδει τα μηνύματα σε ένα συγκεκριμένο τελικό σημείο API στον ιστότοπο «fastsms.su». Ο ιστότοπος επιτρέπει στους επισκέπτες να αγοράσουν πρόσβαση σε «εικονικούς» αριθμούς τηλεφώνου σε ξένες χώρες, τους οποίους μπορούν να χρησιμοποιήσουν για ανωνυμοποίηση και για έλεγχο ταυτότητας σε διαδικτυακές πλατφόρμες και υπηρεσίες.
Είναι πολύ πιθανό οι μολυσμένες συσκευές να χρησιμοποιούνται ενεργά από αυτή την υπηρεσία χωρίς να το γνωρίζουν τα θύματα. Τα ζητούμενα δικαιώματα πρόσβασης Android SMS επιτρέπουν στο stealer malware να καταγράφει τα OTP που απαιτούνται για τις εγγραφές λογαριασμών και τον έλεγχο ταυτότητας δύο παραγόντων. Για τα θύματα, αυτό μπορεί να επιφέρει μη εξουσιοδοτημένες χρεώσεις στον λογαριασμό του κινητού τους, ενώ μπορεί επίσης να εμπλέκονται σε παράνομες δραστηριότητες που προέρχονται από τη συσκευή και τον αριθμό τους.
Για να προστατέψετε την συσκευή Android σας από το SMS stealer malware, αποφύγετε τη λήψη αρχείων APK εκτός του Google Play, μην εκχωρείτε επικίνδυνες άδειες σε εφαρμογές με άσχετη λειτουργικότητα και βεβαιωθείτε ότι το Play Protect είναι ενεργό στη συσκευή σας.
Δείτε επίσης: Το Android malware CherryBlos κλέβει password χρησιμοποιώντας OCR
Το Stealer malware, έχει σχεδιαστεί κυρίως για να κλέβει ευαίσθητες πληροφορίες από τη συσκευή ενός χρήστη χωρίς τη συγκατάθεσή του. Αυτές μπορεί να περιλαμβάνουν προσωπικά δεδομένα όπως ονόματα χρήστη, κωδικούς πρόσβασης, στοιχεία πιστωτικής κάρτας και άλλες εμπιστευτικές πληροφορίες. Το Stealer malware συνήθως διεισδύει στα συστήματα μέσω μηνυμάτων ηλεκτρονικού phishing, κακόβουλων λήψεων ή ιστότοπων που έχουν παραβιαστεί. Μόλις εγκατασταθεί, λειτουργεί κρυφά στο παρασκήνιο, χρησιμοποιώντας συχνά keyloggers ή τεχνικές λήψης οθόνης για τη συλλογή δεδομένων. Για την προστασία από τέτοιες απειλές, οι χρήστες ενθαρρύνονται να διατηρούν ενημερωμένο λογισμικό προστασίας από ιούς, να εφαρμόζουν συνήθειες ασφαλούς περιήγησης και να παραμένουν σε επαγρύπνηση έναντι ύποπτων δραστηριοτήτων στις συσκευές τους.
Πηγή: bleepingcomputer
