Investigadores de la firma de seguridad Zimperium descubrieron esta campaña maliciosa y la han estado monitoreando desde febrero de 2022. Informaron que han detectado al menos 107.000 muestras de malware diferentes relacionadas con la campaña.

El malware rastrea mensajes que contienen códigos OTP de más de 600 marcas globales, algunas con cientos de millones de usuarios. Los motivos de los piratas informáticos son financieros.

Un bot de Telegram pide a los usuarios que proporcionen su número de teléfono para enviar un archivo APK.

Según Zimperium, el malware ladrón de SMS se distribuirá a través de anuncios maliciosos o bots de Telegram, comunicándose automáticamente con las víctimas. Hay dos escenarios que los hackers utilizan para atacar.

En concreto, en el primer caso, la víctima será engañada para que acceda a páginas falsas de Google Play. En el otro caso, el bot de Telegram promete proporcionar a los usuarios aplicaciones Android pirateadas, pero primero deben proporcionar un número de teléfono para recibir el archivo APK. El bot utilizará ese número de teléfono para generar un nuevo archivo APK, lo que permitirá al pirata informático rastrear o atacar a la víctima en el futuro.

Zimperium dijo que la campaña maliciosa utilizó 2.600 bots de Telegram para promover varios APK de Android, que estaban controlados por 13 servidores de Comando y Control. Las víctimas procedían de 113 países, pero la mayoría provenían de India y Rusia. En Estados Unidos, Brasil y México, el número de víctimas también es bastante grande. Estas cifras pintan un panorama preocupante de la operación a gran escala y altamente sofisticada que hay detrás de la campaña.

Los expertos descubrieron que el malware transmite mensajes SMS capturados a un punto final API en el sitio web 'fastsms.su'. Este sitio web vende acceso a números telefónicos virtuales en el extranjero, que pueden utilizarse para anonimizar y autenticar plataformas y servicios en línea. Es probable que los dispositivos infectados fueran explotados sin el conocimiento de la víctima.

Además, al otorgar acceso a los SMS, la víctima permite que el malware lea los mensajes SMS y robe información confidencial, incluidos códigos OTP durante el registro de la cuenta y la autenticación de dos factores. Como resultado, las víctimas pueden ver sus facturas telefónicas dispararse o quedar involuntariamente atrapadas en actividades ilegales, rastreadas hasta sus dispositivos y números de teléfono.

Para evitar caer en la trampa de los malos, los usuarios de Android no deben descargar archivos APK fuera de Google Play, no otorgar acceso a aplicaciones no relacionadas y asegurarse de que Play Protect esté habilitado en el dispositivo.