Специалисты Zimperium обнаружили вредоносную кампанию, направленную на Android-устройства по всему миру. Злоумышленники используют тысячи Telegram-ботов для заражения устройств малварью, ворующей SMS и одноразовые пароли двухфакторной аутентификации более чем от 600 сервисов.

Исследователи рассказывают, что отслеживают эту активность февраля 2022 года. По их данным, с этой кампанией связано не менее 107 000 различных образцов вредоносного ПО. Большинство жертв находятся в Индии и России, но также немало пострадавших обнаружено в Бразилии, Мексике и США. В целом от этой угрозы пострадали пользователи в 113 странах мира.

Судя по всему, операторы малвари преследуют финансовую выгоду и используют зараженные устройства в качестве ретрансляторов для аутентификации и анонимизации.

Вредоносы для кражи SMS распространяются либо посредством вредоносной рекламы, либо через ботов в Telegram, которые автоматизируют общение с пользователем.

Так, в первом случае жертвы по рекламным ссылкам попадают на страницы, имитирующие магазин Google Play, где видят завышенное количество загрузок приложения, что должно создать видимость его легитимности и безопасности.

Во втором случае боты в Telegram обещают предоставить жертвам пиратское приложение для Android, но просят сообщить номер телефона, прежде чем поделиться APK-файлом. В итоге бот использует полученный номер для создания нового APK, что позволяет отслеживать пользователя персонально и совершать другие атаки.

На устройстве жертвы малварь запрашивает разрешения на доступ к SMS, что позволяет ей перехватывать одноразовые пароли, необходимые для регистрации аккаунтов и двухфакторной аутентификации.

В общей сложности для продвижения различных APK используется около 2600 Telegram-ботов, которые контролируются 13 управляющими серверами.

Исследователи обнаружили, что в итоге малварь передает перехваченные SMS-сообщения на определенный эндпоинт API на сайте fastsms[.]su.

На этом сайте посетителям предлагается приобрести доступ к виртуальным телефонным номерам в зарубежных странах. Такие номера могут использовать для анонимизации и аутентификации на различных онлайн-платформах и сервисах. В результате в Zimperium пришли к выводу, что зараженные устройства используются этим сервисом без ведома их владельцев.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии