אזהרה מפני הונאות לגניבת קודי OTP במכשירי אנדרואיד.

חוקרים בחברת האבטחה Zimperium גילו את הקמפיין הזדוני הזה ועוקבים אחריו מאז פברואר 2022. הם מדווחים על מציאת לפחות 107,000 דגימות שונות של תוכנות זדוניות הקשורות לקמפיין.

הנוזקה עקבה אחר הודעות המכילות קודי OTP עבור למעלה מ-600 מותגים גלובליים, חלקם עם מאות מיליוני משתמשים. המניע של ההאקרים היה כלכלי.

בוטים של טלגרם מבקשים ממשתמשים לספק את מספרי הטלפון שלהם כדי לשלוח קבצי APK.

לפי Zimperium, תוכנות זדוניות לגניבת SMS מופצות באמצעות פרסומות זדוניות או בוטים של טלגרם, המתקשרים אוטומטית עם הקורבנות. ישנם שני תרחישים בהם משתמשים האקרים כדי לבצע התקפות.

באופן ספציפי, במקרה הראשון, הקורבן מוטעה לגשת לדפי גוגל פליי מזויפים. במקרה השני, הבוט של טלגרם מבטיח למשתמשים אפליקציות אנדרואיד פיראטיות, אך ראשית, עליהם לספק את מספר הטלפון שלהם כדי לקבל את קובץ ה-APK. בוט זה ישתמש במספר טלפון זה כדי ליצור קובץ APK חדש, מה שיאפשר להאקרים לעקוב או לתקוף את הקורבן בעתיד.

זימפריום דיווחה כי הקמפיין הזדוני השתמש ב-2,600 בוטים של טלגרם כדי לקדם מגוון חבילות APK של אנדרואיד, הנשלטות על ידי 13 שרתי Command & Control. הקורבנות התפרשו על פני 113 מדינות, אך רובם היו מהודו ורוסיה. גם בארה"ב, ברזיל ומקסיקו היו מספר משמעותי של קורבנות. נתונים אלה מציירים תמונה מדאיגה של המבצע הגדול והמתוחכם ביותר שעמד מאחורי הקמפיין.

מומחים גילו תוכנה זדונית שמעבירה הודעות SMS שנלכדו לנקודת קצה של API באתר 'fastsms.su'. אתר זה מוכר גישה למספרי טלפון וירטואליים בחו"ל, אשר לאחר מכן ניתן להשתמש בהם לאנונימיות ואימות בפלטפורמות ושירותים מקוונים. סביר מאוד שהמכשירים הנגועים נוצלו ללא ידיעת הקורבנות.

יתר על כן, על ידי מתן גישה להודעות SMS, קורבנות מאפשרות לתוכנות זדוניות לקרוא הודעות SMS, לגנוב מידע רגיש, כולל קודי OTP המשמשים במהלך רישום חשבון ואימות דו-שלבי. כתוצאה מכך, קורבנות עלולים לראות את חשבונות הטלפון שלהם מרקיעים שחקים או להיות מעורבים בשוגג בפעילויות בלתי חוקיות, כאשר המכשירים ומספרי הטלפון שלהם מאותרים.

כדי להימנע מליפול קורבן לגורמים זדוניים, משתמשי אנדרואיד לא צריכים להוריד קבצי APK מחוץ ל-Google Play, לא צריכים להעניק הרשאות גישה לאפליקציות לא קשורות, ועליהם לוודא ש-Play Protect מופעל במכשירים שלהם.