Zimperium предупредува на малициозен софтвер што ги инфицира уредите со Android од кои краде OTP кодови за повеќе од 600 услуги. OTP кодовите се еднократни лозинки кои обезбедуваат дополнително ниво на заштита на онлајн нарачките и плаќањата.
Истражувачите на Zimperium ја следат оваа кампања од февруари 2022 година. Тие велат дека пронашле најмалку 107.000 примероци од малициозен софтвер поврзани со кампањата. Во овој период, истражувачите беа сведоци на еволуцијата на малициозен софтвер.
Злонамерниот софтвер се дистрибуира или преку реклами или преку ботови на Telegram кои ја автоматизираат комуникацијата со жртвите.
Во првиот случај, жртвите се наведуваат на страници кои изгледаат како легитимна продавница за апликации на Google Play, со надуени броеви за преземање за да им се даде на потенцијалните жртви лажно чувство на доверба. Бидејќи апликацијата изгледа легитимна, жртвите ја инсталираат и на тој начин го инфицираат уредот. По инсталацијата, апликацијата бара дозвола да чита СМС пораки. Ова е високоризична дозвола за Android која дава широк пристап до чувствителните лични податоци. Иако легитимните апликации можат да бараат дозволи за СМС за специфични, добро дефинирани функции, барањето на оваа конкретна апликација има за цел да ги ексфилтрира пораките на жртвата.
На Телеграм, ботови директно комуницираат со жртвите ветувајќи им пиратска апликација за Android, но го прашуваат нивниот телефонски број пред да ја споделат датотеката APK. Телеграм ботот го користи тој број за да генерира нова АПК, која овозможува персонализирано следење или идни напади.
Zimperium вели дека операцијата користи 2.600 ботови на Telegram за промовирање на различни апликации за Android, контролирани од 13 сервери за команди и контрола (C2).
Инфицирани уреди со Android се откриени во 113 земји, а најмногу жртви се во Индија и Русија.
Zimperium откри дека малициозниот софтвер пренесува украдени СМС пораки до API на веб-страницата „fastsms.su“. Сајтот им овозможува на посетителите да купат пристап до „виртуелни“ телефонски броеви во странски земји, кои можат да ги користат за анонимизација и автентикација на онлајн платформи и услуги. Многу е веројатно услугата да користи заразени уреди без жртвите да знаат.
Бараните дозволи за пристап до СМС дозволуваат малициозен софтвер да ги украде ОТП потребни за регистрација на сметката и двофакторна автентикација.
За жртвите, ова може да значи неовластени плаќања, а тие исто така може да бидат вклучени во незаконски активности.
За да избегнете злоупотреба на вашиот телефонски број, избегнувајте преземање апликации надвор од Google Play Store, не давајте ризични дозволи за апликации што не се поврзани со нивните функции и проверете дали Play Protect е вклучен на вашиот уред.
