Experții în securitate tocmai au descoperit o campanie rău intenționată care fură coduri OTP de pe dispozitivele Android la nivel global, prin infectarea dispozitivelor cu programe malware prin intermediul a mii de boți Telegram.
Cercetătorii de la firma de securitate Zimperium au descoperit această campanie rău intenționată și o monitorizează din februarie 2022. Aceștia raportează că au găsit cel puțin 107.000 de mostre diferite de malware legate de campanie.
Malware-ul a urmărit mesajele care conțineau coduri OTP pentru peste 600 de mărci globale, unele cu sute de milioane de utilizatori. Motivația hackerilor a fost financiară.
 |
| Boții Telegram le cer utilizatorilor să furnizeze numerele lor de telefon pentru a trimite fișiere APK. |
Conform Zimperium, malware-ul care fură SMS-uri se răspândește prin intermediul reclamelor malițioase sau al roboților Telegram, comunicând automat cu victimele. Există două scenarii pe care hackerii le folosesc pentru a efectua atacuri.
Mai exact, în primul caz, victima este păcălită să acceseze pagini false de Google Play. În celălalt caz, botul Telegram promite utilizatorilor aplicații Android piratate, dar mai întâi, aceștia trebuie să furnizeze numărul lor de telefon pentru a primi fișierul APK. Acest bot va folosi acel număr de telefon pentru a crea un nou fișier APK, permițând hackerilor să urmărească sau să atace victima în viitor.
Zimperium a raportat că această campanie rău intenționată a folosit 2.600 de boți Telegram pentru a promova diverse APK-uri Android, controlate de 13 servere de comandă și control. Victimele au provenit din 113 țări, dar majoritatea erau din India și Rusia. SUA, Brazilia și Mexic au avut, de asemenea, un număr semnificativ de victime. Aceste cifre prezintă o imagine îngrijorătoare a operațiunii la scară largă și extrem de sofisticate din spatele campaniei.
Experții au descoperit un malware care transmite mesaje SMS capturate către un endpoint API pe site-ul web „fastsms.su”. Acest site web vinde acces la numere de telefon virtuale din străinătate, care pot fi apoi utilizate pentru anonimat și autentificare pe platforme și servicii online. Este foarte probabil ca dispozitivele infectate să fi fost exploatate fără știrea victimelor.
În plus, prin acordarea accesului la SMS-uri, victimele permit programelor malware să citească mesajele SMS, să fure informații sensibile, inclusiv coduri OTP utilizate în timpul înregistrării contului și autentificării cu doi factori. Drept urmare, victimele își pot vedea facturile telefonice crescând vertiginos sau pot fi implicate accidental în activități ilegale, dispozitivele și numerele de telefon fiind urmărite.
Pentru a evita să devină victime ale unor actori rău intenționați, utilizatorii de Android nu ar trebui să descarce fișiere APK din afara Google Play, nu ar trebui să acorde permisiuni de acces aplicațiilor care nu au legătură cu acestea și ar trebui să se asigure că Play Protect este activat pe dispozitivele lor.
Sursă: https://baoquocte.vn/canh-bao-chieu-tro-danh-cap-ma-otp-tren-thiet-bi-android-280849.html
