AndroidデバイスでOTPコードを盗むためのトリックに関する警告

セキュリティ企業Zimperiumの研究者らがこの悪意あるキャンペーンを発見し、2022年2月から追跡している。彼らは、このキャンペーンに関連するマルウェアサンプルを少なくとも107,000件検出したと報告している。

このマルウェアは、600以上のグローバルブランド（中には数億人のユーザーを抱えるブランドもある）からのワンタイムパスワード（OTP）コードを含むメッセージを追跡します。ハッカーの目的は金銭的なものです。

TelegramボットがAPKファイルを送信するためにユーザーに電話番号の提供を求める

Zimperiumによると、SMSスティーラーマルウェアは、悪意のある広告や、被害者と自動的に通信するTelegramボットを介して拡散されます。ハッカーが攻撃に用いるシナリオは2つあります。

具体的には、最初のケースでは、被害者は偽のGoogle Playサイトにアクセスするように誘導されます。もう1つのケースでは、Telegramボットはユーザーに海賊版のAndroidアプリを提供すると約束しますが、APKファイルを受け取るにはまず電話番号を提供する必要があります。このボットはその電話番号を使って新しいAPKファイルを作成し、ハッカーが将来的に被害者を追跡したり攻撃したりできるようにします。

Zimperiumによると、この悪意あるキャンペーンでは、13のコマンド＆コントロールサーバーによって制御された2,600台のTelegramボットが様々なAndroid APKのプロモーションに利用されました。被害者は113カ国に広がりましたが、そのほとんどはインドとロシアでした。米国、ブラジル、メキシコでも被害者がいました。これらの数字は、キャンペーンの背後にある大規模かつ高度に洗練された活動の実態を憂慮すべきものとして浮き彫りにしています。

専門家は、このマルウェアがキャプチャしたSMSメッセージをウェブサイト「fastsms.su」のAPIエンドポイントに送信していたことを発見しました。このウェブサイトは、オンラインプラットフォームやサービスの匿名化と認証に使用できる海外の仮想電話番号へのアクセスを販売しています。感染したデバイスは、被害者の知らないうちに悪用された可能性があります。

さらに、SMSへのアクセスを許可することで、マルウェアはSMSメッセージを読み取り、アカウント登録時や二要素認証時のワンタイムパスワード（OTP）などの機密情報を盗むことができます。その結果、被害者は電話料金が急騰したり、デバイスや電話番号にまで遡って違法行為に巻き込まれたりする可能性があります。

悪意のある人物の罠に陥らないために、Android ユーザーは、Google Play 以外から APK ファイルをダウンロードしたり、関係のないアプリケーションへのアクセスを許可したりせず、デバイスで Play Protect が有効になっていることを確認する必要があります。