Des experts en sécurité viennent de découvrir une campagne malveillante qui vole les codes OTP sur les appareils Android dans le monde entier, en infectant des logiciels malveillants via des milliers de robots Telegram.
Les chercheurs de la société de sécurité Zimperium ont découvert la campagne malveillante et la suivent depuis février 2022. Ils rapportent avoir détecté au moins 107 000 échantillons de logiciels malveillants différents liés à la campagne.
Le logiciel malveillant traque les messages contenant des codes OTP de plus de 600 marques mondiales, dont certaines comptent des centaines de millions d'utilisateurs. Les motivations des pirates sont financières.
Le bot Telegram demande aux utilisateurs de fournir un numéro de téléphone pour envoyer le fichier APK |
Selon Zimperium, les logiciels malveillants voleurs de SMS se propagent via des publicités malveillantes ou des robots Telegram, qui communiquent automatiquement avec leurs victimes. Les pirates utilisent deux scénarios pour attaquer.
Plus précisément, dans le premier cas, la victime sera piégée et pourra accéder à de faux sites Google Play. Dans l'autre cas, le bot Telegram promet aux utilisateurs de fournir des applications Android piratées, mais ils doivent d'abord fournir un numéro de téléphone pour recevoir le fichier APK. Le bot utilisera ce numéro pour créer un nouveau fichier APK, permettant ainsi aux pirates de suivre ou d'attaquer la victime ultérieurement.
Zimperium a déclaré que la campagne malveillante utilisait 2 600 bots Telegram pour promouvoir divers APK Android, contrôlés par 13 serveurs Command & Control. Les victimes étaient réparties dans 113 pays, mais la plupart étaient originaires d'Inde et de Russie. On comptait également des victimes aux États-Unis, au Brésil et au Mexique. Ces chiffres dressent un tableau inquiétant de l'ampleur et de la sophistication de l'opération qui se cache derrière cette campagne.
Les experts ont découvert que le logiciel malveillant transmettait les SMS capturés à un point de terminaison API du site web « fastsms.su ». Ce site vend l'accès à des numéros de téléphone virtuels à l'étranger, permettant d'anonymiser et d'authentifier les plateformes et services en ligne. Il est probable que les appareils infectés aient été exploités à l'insu de la victime.
De plus, en autorisant l'accès aux SMS, les victimes permettent aux logiciels malveillants de lire les messages et de voler des informations sensibles, notamment les codes OTP utilisés lors de l'enregistrement du compte et de l'authentification à deux facteurs. Ainsi, les victimes peuvent voir leurs factures de téléphone exploser ou être impliquées à leur insu dans des activités illégales, dont l'origine est liée à leurs appareils et numéros de téléphone.
Pour éviter de tomber dans le piège des méchants, les utilisateurs d'Android ne doivent pas télécharger de fichiers APK en dehors de Google Play, ne pas accorder l'accès à des applications non liées et s'assurer que Play Protect est activé sur l'appareil.
Source : https://baoquocte.vn/canh-bao-chieu-tro-danh-cap-ma-otp-tren-thiet-bi-android-280849.html
Comment (0)