Les chercheurs de la société de sécurité Zimperium ont découvert cette campagne malveillante et la surveillent depuis février 2022. Ils ont signalé avoir détecté au moins 107 000 échantillons de logiciels malveillants différents liés à la campagne.

Les logiciels malveillants suivent les messages contenant des codes OTP de plus de 600 marques mondiales, certaines comptant des centaines de millions d'utilisateurs. Les motivations des pirates sont financières.

Un robot Telegram demande aux utilisateurs de fournir un numéro de téléphone pour envoyer le fichier APK

Selon Zimperium, les logiciels malveillants de vol de SMS seront distribués via des publicités malveillantes ou des robots Telegram, communiquant automatiquement avec les victimes. Les pirates informatiques utilisent deux scénarios pour attaquer.

Plus précisément, dans le premier cas, la victime sera amenée à accéder à de fausses pages Google Play. Dans l'autre cas, le bot Telegram promet de fournir aux utilisateurs des applications Android piratées, mais ils doivent d'abord fournir un numéro de téléphone pour recevoir le fichier APK. Le bot utilisera ce numéro de téléphone pour générer un nouveau fichier APK, permettant au pirate de suivre ou d'attaquer la victime à l'avenir.

Zimperium a déclaré que la campagne malveillante utilisait 2 600 bots Telegram pour promouvoir divers APK Android, qui étaient contrôlés par 13 serveurs Command & Control. Les victimes étaient réparties dans 113 pays, mais la plupart venaient d'Inde et de Russie. Aux États-Unis, au Brésil et au Mexique, le nombre de victimes est également assez élevé. Ces chiffres dressent un tableau inquiétant de l’opération à grande échelle et hautement sophistiquée qui se cache derrière cette campagne.

Les experts ont découvert que le logiciel malveillant transmet les messages SMS capturés à un point de terminaison API sur le site Web « fastsms.su ». Ce site Web vend l'accès à des numéros de téléphone virtuels à l'étranger, qui peuvent être utilisés pour anonymiser et authentifier les plateformes et services en ligne. Il est probable que les appareils infectés aient été exploités à l’insu de la victime.

De plus, en accordant l’accès aux SMS, la victime permet au logiciel malveillant de lire les messages SMS et de voler des informations sensibles, notamment les codes OTP lors de l’enregistrement du compte et de l’authentification à deux facteurs. En conséquence, les victimes peuvent voir leurs factures de téléphone monter en flèche ou être involontairement impliquées dans des activités illégales, remontant jusqu'à elles grâce à leurs appareils et numéros de téléphone.

Pour éviter de tomber dans le piège des méchants, les utilisateurs d'Android ne doivent pas télécharger de fichiers APK en dehors de Google Play, ne pas accorder l'accès à des applications non liées et s'assurer que Play Protect est activé sur l'appareil.