Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Mobilni telefoni, 01.12.2022, 11:00 AM

Zlonamerna Android SMS aplikacija otkrivena u Google Play prodavnici krišom prikuplja poruke sa OTP (jednokratnim) lozinkama koje se koriste za kreiranje naloga na širokom spektru platformi kao što su Facebook, Google i WhatsApp.

Pre nego što je uklonjena iz Play prodavnice, aplikacija Symoo (com.vanjan.sms) je imala više od 100.000 preuzimanja. Ona funkcioniše kao relej za slanje poruka na server, koji se reklamira kao servis za kreiranje naloga.

Zaraženi uređaji se iznajmljuju kao „virtuelni brojevi“ za jednokratne kodove koji se šalju radi verifikacije prilikom kreiranja novih naloga.

Aplikacija ima ukupnu ocenu 3,4, ali u recenzijama mnogi korisnici se žale da je aplikacija lažna, da preuzima njihove telefone i generiše OTP (jednokratne kodove) nakon instalacije.

Posle instalacije na uređaju, aplikacija zahteva pristup za slanje i čitanje SMS-a, što deluje legitimno s obzirom da se Symoo predstavlja kao SMS aplikacija, „jednostavna za korišćenje“.

Kako je objasnio Maksim Ingrao, istraživač bezbednosti koji je otkrio ovu aplikaciju, od korisnika se na prvom ekranu traži da navede svoj broj telefona.

„Onda se [malver] pretvara da učitava aplikaciju, ali ostaje sve vreme na ovoj stranici da bi se sakrio interfejs primljenog SMS-a i da korisnik ne vidi SMS pretplate na različite servise“, kaže Ingrao.

Proces navodnog učitavanja aplikacije se produžava, omogućavajući operaterima da pošalju više 2FA (dvofaktorska autentifikacija) SMS poruka za kreiranje naloga na različitim servisima i pročitaju njihov sadržaj.

Kada se to završi, aplikacija će se zamrznuti i nikada neće prikazati obećani SMS interfejs, tako da su je korisnici posle toga obično deinstalirali.

Do tog trenutka, aplikacija će koristiti telefonski broj korisnika za generisanje lažnih naloga na različitim onlajn platformama, a korisnici u recenzijama kažu da je među njihovim porukama mnogo poruka sa jednokratnim lozinkama za naloge koje nikada nisu kreirali.

Pošto su brojevi telefona često neophodni za verifikaciju naloga, ovi lažni nalozi mogu biti veoma korisni.

Neke od platformi na kojima su se ilegalno registrovali nalozi pomoću otetih telefonskih brojeva su, između ostalih, Amazon, Discord, Facebook, Google, Instagram, KakaoTalk, Microsoft, Nike, Telegram, TikTok, Tinder, Viber i WhatsApp.

Ingrao je otkrio i da se SMS podaci koje je prikupio malver eksfiltriraju na domen „goomy[.]fun“, koji je ranije korišćen u drugoj zlonamernoj aplikaciji pod nazivom Virtual Number (com.programmatics.virtualnumber), koja je neko vreme takođe bila dostupna na Google Play.

Programer aplikacije, Walven, takođe je povezan sa još jednom Android aplikacijom pod nazivom ActivationPW - Virtual numbers (com.programmatics.activation), koja je imala 10.000 preuzimanja, i koja nudi „virtuelne brojeve za SMS verifikaciju“ iz više od 200 zemalja za manje od 50 centi.

Iako nije potvrđeno, veruje se da se aplikacija Symoo koristi za primanje i prosleđivanje OTP verifikacionih kodova generisanih kada ljudi kreiraju naloge koristeći ActivationPW.

Programer ovih aplikacija blokiran je u Google Play prodavnici.

Ako ste instalirali ove aplikacije, trebalo bi da ih deinstalirate, ako ni zbog čega drugog, ono zbog toga što kopiraju sadržaj vaših SMS poruka na servere, što je jasno iz njihove politike privatnosti u kojoj se navodi da one blokiraju neželjene poruke i prave rezervne kopije.