Malver koji krade OTP kodove iz SMS poruka zarazio Android uređaje u 113 zemalja
Mobilni telefoni, 31.07.2024, 11:00 AM
Zimperium upozorava na malver koji inficira Android uređaje sa kojih krade OTP kodove za više od 600 servisa. OTP kodovi su jednokratne lozinke koje obezbeđuju dodatni nivo zaštite nalozima i plaćanju na mreži.
Istraživači Zimperiuma prate ovu kampanju od februara 2022. Oni kažu da su pronašli najmanje 107.000 uzoraka malvera povezanih sa kampanjom. Tokom ovog perioda, istraživači su bili svedoci evolucije malvera.
Malver se distribuira ili preko oglasa ili preko Telegram botova koji automatizuju komunikaciju sa žrtvama.
U prvom slučaju, žrtve se dovode do stranica koje liče na legitimnu Googleovu Play prodavnicu aplikacija, sa prenaduvanim brojem preuzimanja da bi se kod potencijalnih žrtava stvorio lažni osećaj poverenja. Pošto aplikacija izgleda legitimno, žrtve je instaliraju i tako inficiraju uređaj. Nakon instalacije, aplikacija traži dozvolu za čitanje SMS poruka. Ovo je visokorizična dozvola za Android koja daje širok pristup osetljivim ličnim podacima. Iako i legitimne aplikacije mogu zahtevati SMS dozvole za određene, dobro definisane funkcije, zahtev ove konkretne aplikacije ima za cilj da eksfiltrira žrtvine poruke.
Na Telegramu, botovi direktno komuniciraju sa žrtvama obećavajući im piratsku aplikaciju za Android platformu, ali traže njihov broj telefona pre nego što podele APK fajl. Telegram bot koristi taj broj da generiše novi APK, što omogućava personalizovano praćenje ili buduće napade.
Zimperium kaže da se u operaciji koristi 2.600 Telegram botova za promovisanje različitih Android aplikacija, koje kontroliše 13 komandnih i kontrolnih (C2) servera.
Zaraženi Android uređaji otkriveni su u 113 zemalja, a većina žrtava je u Indiji i Rusiji.
Zimperium je otkrio da malver prenosi ukradene SMS poruke do API-ja na veb sajtu „fastsms.su“. Sajt omogućava posetiocima da kupe pristup „virtuelnim“ brojevima telefona u stranim zemljama, koje mogu da koriste za anonimizaciju i autentifikaciju na onlajn platformama i servisima. Vrlo je verovatno da ta usluga koristi zaražene uređaje, a da žrtve to ne znaju.
Zahtevane dozvole za pristup SMS-u omogućavaju malveru da ukrade OTP-ove potrebne za registraciju naloga i dvofaktorsku autentifikaciju.
Za žrtve, ovo bi moglo da znači neovlašćene naplate, a takođe mogu biti umešane u nezakonite aktivnosti.
Da biste izbegli zloupotrebu broja telefona, izbegavajte preuzimanje aplikacija izvan Google Play prodavnice, nemojte davati rizične dozvole aplikacijama ako nisu povezane sa njihovim funkcijama i proverite da li je Play Protect uključen na vašem uređaju.
Foto: Gilles Lambert | Unsplash
Izdvojeno
Android malver preusmerava korisničke pozive bankama na brojeve koje kontrolišu hakeri
Nova verzija malvera za Android FakeCall otima odlazne pozive korisnika ka njihovoj banci, i preusmerava ih na telefonski broj napadača. Cilj najnovi... Dalje
Otkrivena nova verzija malvera LightSpy za iOS
ThreatFabric je otkrio novu verziju špijunskog softvera LightSpy, koji se koristi na iOS uređajima. Nova verzija malvera (7.9.0) je sofisticiranija ... Dalje
Milioni korisnika iOS-a i Androida u opasnosti zbog nebezbednih popularnih aplikacija
Milioni korisnika iOS-a i Androida su u opasnosti nakon što je Symantec otkrio da popularne aplikacije za obe platforme sadrže hardkodovane, nešifr... Dalje
Milioni korisnika Androida preuzeli sa Google Play više od 200 aplikacija zaraženih malverima
Istraživači bezbednosti su prošle godine prijavili Googleu stotine lažnih aplikacija, upozoravajući da su milioni korisnika zarazili svoje uređ... Dalje
Nijedan antivirus ne detektuje ovaj Android malver
Analitičari malvera iz Cyble Research and Intelligence Labsa (CRIL) otkrili su novu varijantu Android bankovnog trojanca Kerber (Cerberus), malvera k... Dalje
Pratite nas
Nagrade