אזהרה מפני טריקים לגניבת קודי OTP במכשירי אנדרואיד

חוקרים בחברת האבטחה Zimperium גילו את הקמפיין הזדוני ועוקבים אחריו מאז פברואר 2022. הם מדווחים כי זיהו לפחות 107,000 דגימות שונות של תוכנות זדוניות הקשורות לקמפיין.

הנוזקה עוקבת אחר הודעות המכילות קודי OTP מיותר מ-600 מותגים גלובליים, חלקם עם מאות מיליוני משתמשים. המניע של ההאקרים הוא כלכלי.

בוט בטלגרם מבקש מהמשתמשים לספק מספר טלפון לשליחת קובץ APK

לפי Zimperium, תוכנות זדוניות לגניבת SMS מופצות באמצעות פרסומות זדוניות או בוטים של טלגרם, אשר מתקשרים אוטומטית עם הקורבנות. ישנם שני תרחישים בהם משתמשים האקרים כדי לתקוף.

באופן ספציפי, במקרה הראשון, הקורבן יוטעה לגשת לאתרי גוגל פליי מזויפים. במקרה השני, הבוט של טלגרם מבטיח לספק למשתמשים אפליקציות אנדרואיד פיראטיות, אך ראשית, עליהם לספק מספר טלפון כדי לקבל את קובץ ה-APK. בוט זה ישתמש במספר טלפון זה כדי ליצור קובץ APK חדש, מה שיאפשר להאקרים לעקוב או לתקוף את הקורבן בעתיד.

זימפריום מסרה כי הקמפיין הזדוני השתמש ב-2,600 בוטים של טלגרם כדי לקדם מגוון חבילות APK של אנדרואיד, הנשלטות על ידי 13 שרתי Command & Control. הקורבנות התפזרו על פני 113 מדינות, אך רובם היו מהודו ומרוסיה. מספר הקורבנות היה גם בארה"ב, ברזיל ומקסיקו. מספרים אלה מציירים תמונה מדאיגה של המבצע הגדול והמתוחכם ביותר שמאחורי הקמפיין.

מומחים גילו כי הנוזקה העבירה הודעות SMS שנלכדו לנקודת קצה של API באתר 'fastsms.su'. אתר זה מוכר גישה למספרי טלפון וירטואליים בחו"ל, בהם ניתן להשתמש כדי להפוך פלטפורמות ושירותים מקוונים לאנונימיים ולאמת. סביר להניח שמכשירים נגועים נוצלו ללא ידיעת הקורבן.

בנוסף, על ידי מתן גישה להודעות SMS, הקורבנות נותנים לתוכנות זדוניות את היכולת לקרוא הודעות SMS, לגנוב מידע רגיש, כולל קודי OTP במהלך רישום חשבון ואימות דו-שלבי. כתוצאה מכך, הקורבנות עלולים לראות את חשבונות הטלפון שלהם מרקיעים שחקים או להיתפס מבלי משים בפעילויות בלתי חוקיות, המזוהות עם המכשירים ומספרי הטלפון שלהם.

כדי להימנע מליפול למלכודת של אנשים רעים, משתמשי אנדרואיד לא צריכים להוריד קבצי APK מחוץ ל-Google Play, לא להעניק גישה לאפליקציות לא קשורות, ולוודא ש-Play Protect מופעל במכשיר.