セキュリティ専門家は、数千ものTelegramボットを通じてマルウェアをデバイスに感染させることで、世界中のAndroidデバイスからOTPコードを盗み出す悪質なキャンペーンを発見しました。
セキュリティ企業Zimperiumの研究者らは、この悪質なキャンペーンを発見し、2022年2月から監視を続けている。彼らは、このキャンペーンに関連する少なくとも10万7000種類のマルウェアサンプルを発見したと報告している。
このマルウェアは、600以上のグローバルブランドのワンタイムパスワード(OTP)コードを含むメッセージを追跡しており、中には数億人のユーザーを抱えるブランドもあった。ハッカーの動機は金銭目的だった。
 |
| Telegramのボットが、APKファイルを送信するためにユーザーに電話番号の提供を求めている。 |
Zimperiumによると、SMS窃盗マルウェアは、悪意のある広告やTelegramボットを通じて拡散し、被害者と自動的に通信を行う。ハッカーが攻撃を実行するために用いるシナリオは2つある。
具体的には、最初のケースでは、被害者は偽のGoogle Playページにアクセスするように騙されます。もう1つのケースでは、Telegramボットがユーザーに海賊版Androidアプリを提供すると約束しますが、まずAPKファイルを受け取るために電話番号を提供する必要があります。このボットはその電話番号を使って新しいAPKファイルを作成し、ハッカーが将来的に被害者を追跡したり攻撃したりできるようにします。
Zimperiumの報告によると、この悪質なキャンペーンでは、13台のコマンド&コントロールサーバーによって制御された2,600台のTelegramボットが様々なAndroid APKの宣伝に利用された。被害者は113カ国に及んだが、その大半はインドとロシアの住民だった。米国、ブラジル、メキシコでも多数の被害者が出た。これらの数字は、このキャンペーンの背後にある大規模かつ高度な作戦の深刻さを物語っている。
専門家は、ウェブサイト「fastsms.su」上のAPIエンドポイントに、傍受したSMSメッセージを送信するマルウェアを発見した。このウェブサイトは、海外の仮想電話番号へのアクセスを販売しており、これらの番号はオンラインプラットフォームやサービスでの匿名性や認証に利用できる。感染したデバイスは、被害者の知らないうちに悪用された可能性が非常に高い。
さらに、SMSへのアクセスを許可することで、被害者はマルウェアにSMSメッセージを読まれ、アカウント登録時や二段階認証時に使用されるワンタイムパスワード(OTP)などの機密情報を盗まれることを許してしまうことになります。その結果、被害者は電話料金が急騰したり、意図せず違法行為に巻き込まれたり、端末や電話番号が追跡されたりする可能性があります。
悪意のある攻撃者の被害に遭わないために、AndroidユーザーはGoogle Play以外からAPKファイルをダウンロードしたり、無関係なアプリケーションにアクセス権限を与えたりせず、デバイスでPlay Protectが有効になっていることを確認する必要があります。
出典: https://baoquocte.vn/canh-bao-chieu-tro-danh-cap-ma-otp-tren-thiet-bi-android-280849.html
コメント (0)