Volgens een rapport van beveiligingsbedrijf Zimperium wordt deze campagne sinds februari 2022 gedetecteerd en gemonitord. Tot op heden zijn er minstens 107.000 gerelateerde malware-samples geïdentificeerd.
De malware is voornamelijk gericht op Android-apparaten, met als doel OTP-codes te stelen, een type eenmalig wachtwoord dat vaak wordt gebruikt voor tweefactorauthenticatie tijdens het inloggen of online transacties.
De campagne maakte gebruik van meer dan 2600 Telegram-bots om de malware te verspreiden, aangestuurd door 13 Command & Control (C&C)-servers. De slachtoffers van deze campagne waren afkomstig uit 113 landen, maar waren vooral geconcentreerd in India, Rusland, Brazilië, Mexico en de Verenigde Staten.
Android-gebruikers lopen het risico dat hun OTP-codes worden gestolen
De malware wordt op twee manieren verspreid. Slachtoffers kunnen worden verleid tot het bezoeken van nepwebsites die lijken op Google Play. Of slachtoffers kunnen via Telegram-bots worden verleid tot het downloaden van illegale APK-apps. Om de app te downloaden, moeten gebruikers hun telefoonnummer opgeven. De malware gebruikt dit nummer vervolgens om een nieuw APK-bestand aan te maken, waarmee de aanvaller verdere aanvallen kan volgen of uitvoeren.
Wanneer een gebruiker onbewust sms-toegang verleent aan een met malware geïnfecteerde app, kan de malware sms-berichten lezen, inclusief eenmalige wachtwoorden die naar de telefoon zijn verzonden. Dit stelt aanvallers niet alleen in staat om gevoelige informatie te stelen, maar brengt het slachtoffer ook het risico op accountmisbruik en zelfs financiële fraude met zich mee.
Zodra de OTP-code is gestolen, kan de aanvaller gemakkelijk toegang krijgen tot de bankrekeningen, e-wallets of andere online diensten van het slachtoffer, met ernstige financiële gevolgen. Bovendien kunnen sommige slachtoffers ook betrokken zijn bij illegale activiteiten zonder het te weten.
Zimperium ontdekte ook dat de malware gestolen sms-berichten doorstuurde naar een API-eindpunt op 'fastsms.su', een website die toegang verkoopt tot virtuele telefoonnummers in het buitenland. Deze telefoonnummers kunnen worden gebruikt om online transacties te anonimiseren, waardoor ze moeilijker te traceren zijn.
Om zichzelf te beschermen tegen het risico van een aanval, wordt Android-gebruikers het volgende geadviseerd:
Download geen APK-bestanden van bronnen buiten Google Play: deze bestanden kunnen schadelijke code bevatten waarmee uw gegevens eenvoudig kunnen worden gestolen.
Geef onbekende apps geen toegang tot sms-berichten: hiermee beperkt u het risico dat malware berichten met uw eenmalig wachtwoord kan lezen.
Play Protect inschakelen: dit is een beveiligingsfunctie van Google Play die schadelijke apps op uw apparaat scant en detecteert.
Bron: https://www.congluan.vn/nguoi-dung-co-nguy-co-bi-danh-cap-ma-otp-tren-dien-thoai-android-post306111.html
Reactie (0)