Selon un rapport de la société de sécurité Zimperium, cette campagne est détectée et suivie depuis février 2022. À ce jour, au moins 107 000 échantillons de logiciels malveillants associés ont été identifiés.
Ce logiciel malveillant cible principalement les appareils Android, dans le but de voler les codes OTP — un type de mot de passe à usage unique couramment utilisé pour l'authentification à deux facteurs lors de la connexion ou des transactions en ligne.
Cette campagne d'attaques a utilisé plus de 2 600 bots Telegram pour diffuser un logiciel malveillant, contrôlés par 13 serveurs de commande et de contrôle (C&C). Les victimes se trouvaient dans 113 pays, mais étaient principalement concentrées en Inde, en Russie, au Brésil, au Mexique et aux États-Unis.
Les utilisateurs d'Android courent le risque de se faire voler leurs codes OTP.
Les logiciels malveillants se propagent principalement de deux manières. Les victimes peuvent être amenées à accéder à de faux sites web imitant Google Play. Elles peuvent également être incitées à télécharger des applications APK piratées via des bots Telegram. Pour télécharger l'application, les utilisateurs doivent fournir leur numéro de téléphone, que le logiciel malveillant utilise ensuite pour créer un nouveau fichier APK, permettant ainsi aux attaquants de suivre leur activité ou de mener d'autres attaques.
Lorsqu'un utilisateur autorise par inadvertance une application malveillante à accéder à ses SMS, le logiciel malveillant peut lire les messages, y compris les codes OTP envoyés sur son téléphone. Cela permet non seulement aux pirates de voler des informations sensibles, mais expose également les victimes à un risque d'utilisation abusive de leur compte, voire de fraude financière.
Une fois un code OTP volé, les pirates peuvent facilement accéder aux comptes bancaires, portefeuilles électroniques ou autres services en ligne de la victime, entraînant de graves conséquences financières. De plus, certaines victimes peuvent se retrouver impliquées, à leur insu, dans des activités illégales.
Zimperium a également découvert que ce logiciel malveillant transmet les SMS volés à une API du site « fastsms.su », spécialisé dans la vente d'accès à des numéros de téléphone virtuels à l'étranger. Ces numéros permettent de rester anonyme lors de transactions en ligne, ce qui complique leur traçage.
Pour se protéger contre le risque d'attaque, il est conseillé aux utilisateurs d'Android de :
Ne téléchargez pas de fichiers APK provenant de sources autres que Google Play : ces fichiers peuvent contenir des logiciels malveillants capables de voler facilement vos informations.
N’autorisez pas l’accès aux SMS aux applications provenant de sources inconnues : cela réduira le risque que des logiciels malveillants puissent lire vos messages OTP.
Activer Play Protect : il s’agit d’une fonctionnalité de sécurité de Google Play qui analyse et détecte les applications malveillantes sur votre appareil.
Source : https://www.congluan.vn/nguoi-dung-co-nguy-co-bi-danh-cap-ma-otp-tren-dien-thoai-android-post306111.html
