Согласно отчету компании Zimperium, занимающейся вопросами безопасности, эта кампания была обнаружена и отслеживается с февраля 2022 года. На сегодняшний день выявлено не менее 107 000 связанных с ней образцов вредоносного ПО.
Это вредоносное ПО в первую очередь нацелено на устройства Android и направлено на кражу OTP-кодов — типов одноразовых паролей, обычно используемых для двухфакторной аутентификации при входе в систему или совершении онлайн-транзакций.
В рамках этой кампании атак было использовано более 2600 ботов в Telegram для распространения вредоносного ПО, управляемого 13 серверами управления и контроля (C&C). Жертвами этой кампании стали граждане 113 стран, но наибольшая их доля пришлась на Индию, Россию, Бразилию, Мексику и США.
Пользователи Android рискуют стать жертвами кражи своих OTP-кодов.
Вредоносное ПО распространяется двумя основными способами. Жертв могут обманом заставить перейти на поддельные веб-сайты, замаскированные под Google Play. Или же жертв могут заманить в ловушку, заставив загрузить пиратские APK-приложения через ботов в Telegram. Для загрузки приложения пользователи должны указать свой номер телефона, который вредоносная программа затем использует для создания нового APK-файла, что позволяет злоумышленникам отслеживать их активность или совершать дальнейшие атаки.
Когда пользователи по ошибке предоставляют вредоносному приложению доступ к SMS-сообщениям, вредоносная программа может читать SMS-сообщения, включая OTP-коды, отправленные на их телефоны. Это не только позволяет злоумышленникам красть конфиденциальную информацию, но и подвергает жертв риску неправомерного использования учетных записей и даже финансового мошенничества.
После кражи одноразового пароля (OTP) злоумышленники могут легко получить доступ к банковским счетам жертвы, электронным кошелькам или другим онлайн-сервисам, что может привести к серьезным финансовым последствиям. Кроме того, некоторые жертвы могут неосознанно оказаться вовлеченными в незаконную деятельность.
Компания Zimperium также обнаружила, что это вредоносное ПО передает украденные SMS-сообщения на API-интерфейс сайта fastsms.su, специализирующегося на продаже доступа к виртуальным телефонным номерам за рубежом. Эти номера телефонов могут использоваться для сохранения анонимности в онлайн-транзакциях, что затрудняет их отслеживание.
Для защиты от риска атак пользователям Android рекомендуется:
Не загружайте APK-файлы из источников, отличных от Google Play: эти файлы могут содержать вредоносное ПО, способное легко украсть вашу информацию.
Не предоставляйте доступ к SMS-сообщениям приложениям из неизвестных источников: это снизит риск того, что вредоносное ПО сможет прочитать ваши OTP-сообщения.
Активируйте Play Protect: это функция безопасности Google Play, которая сканирует и обнаруживает вредоносные приложения на вашем устройстве.
Источник: https://www.congluan.vn/nguoi-dung-co-nguy-co-bi-danh-cap-ma-otp-tren-dien-thoai-android-post306111.html
