Οι χρήστες διατρέχουν κίνδυνο κλοπής των κωδικών OTP τους σε τηλέφωνα Android.

Σύμφωνα με μια έκθεση της εταιρείας ασφαλείας Zimperium, αυτή η καμπάνια έχει εντοπιστεί και παρακολουθηθεί από τον Φεβρουάριο του 2022. Μέχρι σήμερα, έχουν εντοπιστεί τουλάχιστον 107.000 δείγματα σχετικού κακόβουλου λογισμικού.

Αυτό το κακόβουλο λογισμικό στοχεύει κυρίως συσκευές Android, με στόχο την κλοπή κωδικών OTP—ένα είδος κωδικού πρόσβασης μιας χρήσης που χρησιμοποιείται συνήθως για έλεγχο ταυτότητας δύο παραγόντων κατά τη σύνδεση ή τις ηλεκτρονικές συναλλαγές.

Αυτή η εκστρατεία επίθεσης χρησιμοποίησε πάνω από 2.600 bots Telegram για τη διάδοση κακόβουλου λογισμικού, το οποίο ελέγχεται από 13 διακομιστές Command & Control (C&C). Τα θύματα αυτής της εκστρατείας εκτείνονταν σε 113 χώρες, αλλά συγκεντρώνονταν περισσότερο στην Ινδία, τη Ρωσία, τη Βραζιλία, το Μεξικό και τις Ηνωμένες Πολιτείες.

Το κακόβουλο λογισμικό εξαπλώνεται με δύο κύριες μεθόδους. Τα θύματα ενδέχεται να εξαπατηθούν ώστε να αποκτήσουν πρόσβαση σε ψεύτικους ιστότοπους που μεταμφιέζονται σε Google Play. Ή, τα θύματα ενδέχεται να παρασυρθούν να κατεβάσουν πειρατικές εφαρμογές APK μέσω bots Telegram. Για να κατεβάσουν την εφαρμογή, οι χρήστες πρέπει να δώσουν τον αριθμό τηλεφώνου τους, τον οποίο το κακόβουλο λογισμικό χρησιμοποιεί στη συνέχεια για να δημιουργήσει ένα νέο αρχείο APK, επιτρέποντας στους εισβολείς να παρακολουθούν τη δραστηριότητά τους ή να πραγματοποιούν περαιτέρω επιθέσεις.

Όταν οι χρήστες παραχωρούν ακούσια πρόσβαση μέσω SMS σε μια κακόβουλη εφαρμογή, το κακόβουλο λογισμικό μπορεί να διαβάσει μηνύματα SMS, συμπεριλαμβανομένων των κωδικών OTP που αποστέλλονται στα τηλέφωνά τους. Αυτό όχι μόνο επιτρέπει στους εισβολείς να κλέψουν ευαίσθητες πληροφορίες, αλλά θέτει επίσης τα θύματα σε κίνδυνο κακής χρήσης λογαριασμού, ακόμη και οικονομικής απάτης.

Μόλις κλαπεί ένας κωδικός OTP, οι εισβολείς μπορούν εύκολα να έχουν πρόσβαση στους τραπεζικούς λογαριασμούς, τα ηλεκτρονικά πορτοφόλια ή άλλες διαδικτυακές υπηρεσίες του θύματος, προκαλώντας σοβαρές οικονομικές συνέπειες. Επιπλέον, ορισμένα θύματα ενδέχεται να εμπλακούν εν αγνοία τους σε παράνομες δραστηριότητες.

Η Zimperium ανακάλυψε επίσης ότι αυτό το κακόβουλο λογισμικό μεταδίδει κλεμμένα μηνύματα SMS σε ένα τελικό σημείο API στο 'fastsms.su', έναν ιστότοπο που ειδικεύεται στην πώληση πρόσβασης σε εικονικούς αριθμούς τηλεφώνου στο εξωτερικό. Αυτοί οι αριθμοί τηλεφώνου μπορούν να χρησιμοποιηθούν για να παραμείνουν ανώνυμοι σε ηλεκτρονικές συναλλαγές, γεγονός που καθιστά την ιχνηλάτησή τους πιο δύσκολη.

Για να προστατευτούν από τον κίνδυνο επίθεσης, οι χρήστες Android συμβουλεύονται να:

Μην κατεβάζετε αρχεία APK από πηγές εκτός του Google Play: Αυτά τα αρχεία ενδέχεται να περιέχουν κακόβουλο λογισμικό που μπορεί εύκολα να κλέψει τα στοιχεία σας.

Μην παραχωρείτε πρόσβαση μέσω SMS σε εφαρμογές από άγνωστες πηγές: Αυτό θα μειώσει τον κίνδυνο κακόβουλου λογισμικού να μπορεί να διαβάσει τα μηνύματα OTP σας.

Ενεργοποίηση του Play Protect: Πρόκειται για μια λειτουργία ασφαλείας του Google Play που σαρώνει και εντοπίζει κακόβουλες εφαρμογές στη συσκευή σας.