O nouă campanie rău intenționată, care țintește dispozitivele Android din întreaga lume, utilizează mii de roboți Telegram pentru a răspândi programe malware periculoase. Aceste programe fură SMS-uri și parole unice de autentificare 2FA (OTP) pentru peste 600 de servicii diferite. Cercetătorii de la Zimperium, care monitorizează această operațiune din februarie 2022, au descoperit cel puțin 107.000 de mostre distincte de malware asociate campaniei.
Motivați de câștiguri financiare, infractorii cibernetici folosesc dispozitivele Android infectate ca relee de autentificare și anonimizare. Furtul de SMS-uri este facilitat prin malvertising sau prin utilizarea roboților Telegram care automatizează comunicările cu victimele. În cazul malvertising-ului, utilizatorii sunt direcționați către pagini false care imită Google Play, inducând în eroare utilizatorii prin raportarea unui număr mare de descărcări.
Pe platforma Telegram, boții promit aplicații piratate pentru Android, cerând utilizatorilor numărul de telefon înainte de a partaja fișierul APK. Acest număr de telefon este folosit ulterior pentru a genera un APK personalizat, facilitând urmărirea individualizată și atacuri viitoare. Operațiunea utilizează 2.600 de roboți Telegram pentru a promova diverse APK-uri Android, toate controlate de 13 servere de comandă și control (C2).
Android Vizat de un Malware Extrem de Periculos pentru Milioane de Telefoane
Cea mai mare parte a victimelor acestei campanii se află în India și Rusia, însă Brazilia, Mexic și Statele Unite au, de asemenea, un număr semnificativ de victime. Malware-ul transmite SMS-urile capturate către un punct final API pe site-ul „fastsms.su”, care permite utilizatorilor să achiziționeze acces la numere de telefon „virtuale” din diferite țări, utilizate pentru anonimizare și autentificare pe diverse platforme online.
Este foarte probabil ca dispozitivele Android infectate să fie folosite activ de acest serviciu fără cunoștința victimelor. Permisiunile Android SMS permit malware-ului să capteze OTP-urile necesare pentru autentificarea cu doi factori. Victimele se pot confrunta cu taxe neautorizate pe conturile lor de mobil și pot fi implicate în activități ilegale urmărite până la dispozitivele și numerele lor de telefon.
Pentru a evita abuzurile, utilizatorii Android sunt sfătuiți să nu descarce fișiere APK din afara Google Play, să nu acorde permisiuni riscante aplicațiilor și să se asigure că Play Protect este activ pe dispozitiv. Fiți vigilenți și protejați-vă dispozitivele Android pentru a preveni astfel de atacuri cibernetice.
