Des experts en sécurité viennent de découvrir une campagne malveillante visant à voler les codes OTP sur les appareils Android à l'échelle mondiale, en infectant ces appareils avec un logiciel malveillant via des milliers de bots Telegram.
Des chercheurs de la société de sécurité Zimperium ont découvert cette campagne malveillante et la surveillent depuis février 2022. Ils indiquent avoir trouvé au moins 107 000 échantillons de logiciels malveillants différents liés à cette campagne.
Le logiciel malveillant a intercepté les messages contenant des codes OTP de plus de 600 marques internationales, dont certaines comptent des centaines de millions d'utilisateurs. Le mobile des pirates était financier.
 |
| Des bots Telegram demandent aux utilisateurs de fournir leur numéro de téléphone pour leur envoyer des fichiers APK. |
Selon Zimperium, les logiciels malveillants voleurs de SMS se propagent via des publicités malveillantes ou des bots Telegram, communiquant automatiquement avec leurs victimes. Les pirates informatiques utilisent généralement deux scénarios pour mener leurs attaques.
Dans le premier cas, la victime est incitée à accéder à de fausses pages Google Play. Dans le second cas, le bot Telegram promet aux utilisateurs des applications Android piratées, mais exige d'abord leur numéro de téléphone pour recevoir le fichier APK. Ce bot utilisera ce numéro pour créer un nouveau fichier APK, permettant ainsi aux pirates de localiser ou d'attaquer la victime ultérieurement.
Zimperium a signalé que la campagne malveillante utilisait 2 600 bots Telegram pour promouvoir divers fichiers APK Android, contrôlés par 13 serveurs de commande et de contrôle. Les victimes étaient réparties dans 113 pays, mais la majorité se trouvaient en Inde et en Russie. Les États-Unis, le Brésil et le Mexique comptaient également un nombre important de victimes. Ces chiffres dressent un tableau inquiétant de l'opération d'envergure et très sophistiquée à l'origine de cette campagne.
Des experts ont découvert un logiciel malveillant qui transmet les SMS interceptés à une API du site web « fastsms.su ». Ce site vend l'accès à des numéros de téléphone virtuels à l'étranger, permettant ainsi de garantir l'anonymat et l'authentification sur les plateformes et services en ligne. Il est fort probable que les appareils infectés aient été exploités à l'insu des victimes.
De plus, en autorisant l'accès à leurs SMS, les victimes permettent à des logiciels malveillants de lire leurs messages et de voler des informations sensibles, notamment les codes OTP utilisés lors de la création d'un compte et de l'authentification à deux facteurs. Par conséquent, leurs factures de téléphone peuvent exploser ou elles peuvent se retrouver impliquées malgré elles dans des activités illégales, leurs appareils et leurs numéros de téléphone étant alors tracés.
Pour éviter d'être victimes de personnes malveillantes, les utilisateurs d'Android ne doivent pas télécharger de fichiers APK en dehors de Google Play, ne doivent pas accorder d'autorisations d'accès à des applications non liées et doivent s'assurer que Play Protect est activé sur leurs appareils.
Source : https://baoquocte.vn/canh-bao-chieu-tro-danh-cap-ma-otp-tren-thiet-bi-android-280849.html
