Malver koji krade OTP kodove iz SMS poruka zarazio Android uređaje u 113 zemalja

Mobilni telefoni, 31.07.2024, 11:00 AM

Zimperium upozorava na malver koji inficira Android uređaje sa kojih krade OTP kodove za više od 600 servisa. OTP kodovi su jednokratne lozinke koje obezbeđuju dodatni nivo zaštite nalozima i plaćanju na mreži.

Istraživači Zimperiuma prate ovu kampanju od februara 2022. Oni kažu da su pronašli najmanje 107.000 uzoraka malvera povezanih sa kampanjom. Tokom ovog perioda, istraživači su bili svedoci evolucije malvera.

Malver se distribuira ili preko oglasa ili preko Telegram botova koji automatizuju komunikaciju sa žrtvama.

U prvom slučaju, žrtve se dovode do stranica koje liče na legitimnu Googleovu Play prodavnicu aplikacija, sa prenaduvanim brojem preuzimanja da bi se kod potencijalnih žrtava stvorio lažni osećaj poverenja. Pošto aplikacija izgleda legitimno, žrtve je instaliraju i tako inficiraju uređaj. Nakon instalacije, aplikacija traži dozvolu za čitanje SMS poruka. Ovo je visokorizična dozvola za Android koja daje širok pristup osetljivim ličnim podacima. Iako i legitimne aplikacije mogu zahtevati SMS dozvole za određene, dobro definisane funkcije, zahtev ove konkretne aplikacije ima za cilj da eksfiltrira žrtvine poruke.

Na Telegramu, botovi direktno komuniciraju sa žrtvama obećavajući im piratsku aplikaciju za Android platformu, ali traže njihov broj telefona pre nego što podele APK fajl. Telegram bot koristi taj broj da generiše novi APK, što omogućava personalizovano praćenje ili buduće napade.

Zimperium kaže da se u operaciji koristi 2.600 Telegram botova za promovisanje različitih Android aplikacija, koje kontroliše 13 komandnih i kontrolnih (C2) servera.

Zaraženi Android uređaji otkriveni su u 113 zemalja, a većina žrtava je u Indiji i Rusiji.

Zimperium je otkrio da malver prenosi ukradene SMS poruke do API-ja na veb sajtu „fastsms.su“. Sajt omogućava posetiocima da kupe pristup „virtuelnim“ brojevima telefona u stranim zemljama, koje mogu da koriste za anonimizaciju i autentifikaciju na onlajn platformama i servisima. Vrlo je verovatno da ta usluga koristi zaražene uređaje, a da žrtve to ne znaju.

Zahtevane dozvole za pristup SMS-u omogućavaju malveru da ukrade OTP-ove potrebne za registraciju naloga i dvofaktorsku autentifikaciju.

Za žrtve, ovo bi moglo da znači neovlašćene naplate, a takođe mogu biti umešane u nezakonite aktivnosti.

Da biste izbegli zloupotrebu broja telefona, izbegavajte preuzimanje aplikacija izvan Google Play prodavnice, nemojte davati rizične dozvole aplikacijama ako nisu povezane sa njihovim funkcijama i proverite da li je Play Protect uključen na vašem uređaju.

Foto: Gilles Lambert | Unsplash