Специалисты Zimperium обнаружили вредоносную кампанию, направленную на Android-устройства по всему миру. Злоумышленники используют тысячи Telegram-ботов для заражения устройств малварью, ворующей SMS и одноразовые пароли двухфакторной аутентификации более чем от 600 сервисов.
Исследователи рассказывают, что отслеживают эту активность февраля 2022 года. По их данным, с этой кампанией связано не менее 107 000 различных образцов вредоносного ПО. Большинство жертв находятся в Индии и России, но также немало пострадавших обнаружено в Бразилии, Мексике и США. В целом от этой угрозы пострадали пользователи в 113 странах мира.
Судя по всему, операторы малвари преследуют финансовую выгоду и используют зараженные устройства в качестве ретрансляторов для аутентификации и анонимизации.
Вредоносы для кражи SMS распространяются либо посредством вредоносной рекламы, либо через ботов в Telegram, которые автоматизируют общение с пользователем.
Так, в первом случае жертвы по рекламным ссылкам попадают на страницы, имитирующие магазин Google Play, где видят завышенное количество загрузок приложения, что должно создать видимость его легитимности и безопасности.
Во втором случае боты в Telegram обещают предоставить жертвам пиратское приложение для Android, но просят сообщить номер телефона, прежде чем поделиться APK-файлом. В итоге бот использует полученный номер для создания нового APK, что позволяет отслеживать пользователя персонально и совершать другие атаки.
На устройстве жертвы малварь запрашивает разрешения на доступ к SMS, что позволяет ей перехватывать одноразовые пароли, необходимые для регистрации аккаунтов и двухфакторной аутентификации.
В общей сложности для продвижения различных APK используется около 2600 Telegram-ботов, которые контролируются 13 управляющими серверами.
Исследователи обнаружили, что в итоге малварь передает перехваченные SMS-сообщения на определенный эндпоинт API на сайте fastsms[.]su.
На этом сайте посетителям предлагается приобрести доступ к виртуальным телефонным номерам в зарубежных странах. Такие номера могут использовать для анонимизации и аутентификации на различных онлайн-платформах и сервисах. В результате в Zimperium пришли к выводу, что зараженные устройства используются этим сервисом без ведома их владельцев.