Az Androidos telefonokon a felhasználók ki vannak téve annak a veszélynek, hogy ellopják az OTP-kódjaikat.

A Zimperium biztonsági cég jelentése szerint ezt a kampányt 2022 februárja óta észlelik és követik nyomon. A mai napig legalább 107 000 kapcsolódó kártevő mintát azonosítottak.

Ez a rosszindulatú program elsősorban Android-eszközöket céloz meg, és OTP-kódokat lop – egy egyszer használatos jelszót, amelyet általában kétfaktoros hitelesítéshez használnak bejelentkezés vagy online tranzakciók során.

Ez a támadási kampány több mint 2600 Telegram botot használt a rosszindulatú programok terjesztésére, amelyeket 13 parancsnoki és irányító (C&C) szerver irányított. A kampány áldozatai 113 országot öleltek fel, de leginkább Indiában, Oroszországban, Brazíliában, Mexikóban és az Egyesült Államokban voltak jelen.

A rosszindulatú programok két fő módon terjednek. Az áldozatokat becsaphatják, hogy hamis, Google Playnek álcázott weboldalakra jussanak el. Vagy a Telegram botokon keresztül rávehetik őket kalóz APK-alkalmazások letöltésére. Az alkalmazás letöltéséhez a felhasználóknak meg kell adniuk a telefonszámukat, amelyet a rosszindulatú program ezután egy új APK-fájl létrehozásához használ, lehetővé téve a támadók számára, hogy nyomon kövessék tevékenységüket vagy további támadásokat hajtsanak végre.

Amikor a felhasználók véletlenül SMS-hozzáférést biztosítanak egy rosszindulatú alkalmazásnak, a rosszindulatú program képes elolvasni az SMS-üzeneteket, beleértve a telefonjukra küldött OTP-kódokat is. Ez nemcsak lehetővé teszi a támadók számára, hogy érzékeny információkat lopjanak el, hanem az áldozatokat a fiókjukkal való visszaélés, sőt a pénzügyi csalás kockázatának is kitenni.

Miután egy OTP kódot elloptak, a támadók könnyen hozzáférhetnek az áldozat bankszámláihoz, elektronikus pénztárcáihoz vagy más online szolgáltatásaihoz, ami súlyos pénzügyi következményeket okozhat. Ezenkívül egyes áldozatok tudtukon kívül illegális tevékenységekbe is belekeveredhetnek.

A Zimperium azt is felfedezte, hogy ez a rosszindulatú program lopott SMS-üzeneteket továbbít egy API-végpontnak a 'fastsms.su' címen, amely egy virtuális telefonszámokhoz való hozzáférés külföldi értékesítésére szakosodott weboldal. Ezek a telefonszámok felhasználhatók az online tranzakciók anonimaságának megőrzésére, ami megnehezíti a nyomon követésüket.

A támadások kockázatának elkerülése érdekében az Android-felhasználóknak a következőket javasoljuk:

Ne tölts le APK fájlokat a Google Playen kívüli forrásokból: Ezek a fájlok olyan rosszindulatú programokat tartalmazhatnak, amelyek könnyen ellophatják az adataidat.

Ne adjon SMS-hozzáférést ismeretlen forrásból származó alkalmazásoknak: Ez csökkenti annak kockázatát, hogy a rosszindulatú programok el tudják olvasni az OTP-üzeneteit.

Play Protect aktiválása: Ez egy Google Play biztonsági funkció, amely beolvassa és észleli a rosszindulatú alkalmazásokat az eszközödön.