Попередження про хитрощі крадіжки OTP-кодів на пристроях Android

Дослідники з фірми безпеки Zimperium виявили шкідливу кампанію та відстежують її з лютого 2022 року. Вони повідомляють, що виявили щонайменше 107 000 різних зразків шкідливого програмного забезпечення, пов'язаних з цією кампанією.

Шкідливе програмне забезпечення відстежує повідомлення, що містять коди OTP, від понад 600 світових брендів, деякі з яких мають сотні мільйонів користувачів. Мотив хакерів фінансовий.

Бот Telegram просить користувачів надати номер телефону для надсилання APK-файлу

Згідно з даними Zimperium, шкідливе програмне забезпечення для крадіжки SMS поширюється через шкідливу рекламу або ботів Telegram, які автоматично зв'язуються з жертвами. Існує два сценарії, які хакери використовують для атак.

Зокрема, у першому випадку жертву обманом змушують отримати доступ до фальшивих сайтів Google Play. В іншому випадку бот Telegram обіцяє надавати користувачам піратські програми для Android, але спочатку вони повинні надати номер телефону, щоб отримати APK-файл. Цей бот використовуватиме цей номер телефону для створення нового APK-файлу, що дозволить хакеру відстежувати або атакувати жертву в майбутньому.

Zimperium заявила, що шкідлива кампанія використовувала 2600 ботів Telegram для просування різних Android APK, які контролювалися 13 серверами Command & Control. Жертви були розподілені по 113 країнах, але більшість з них були з Індії та Росії. США, Бразилія та Мексика також мали значну кількість жертв. Ці цифри малюють тривожну картину масштабної та надзвичайно складної операції, що стоїть за цією кампанією.

Експерти виявили, що шкідливе програмне забезпечення передає перехоплені SMS-повідомлення до кінцевої точки API на веб-сайті «fastsms.su». Цей веб-сайт продає доступ до віртуальних телефонних номерів за кордоном, які можна використовувати для анонімізації та автентифікації онлайн-платформ і сервісів. Ймовірно, заражені пристрої були використані без відома жертви.

Крім того, надаючи доступ до SMS, жертви надають шкідливому програмному забезпеченню можливість читати SMS-повідомлення та красти конфіденційну інформацію, включаючи коди OTP під час реєстрації облікового запису та двофакторної автентифікації. В результаті жертви можуть зіткнутися з різким зростанням своїх рахунків за телефон або мимоволі бути залученими до незаконної діяльності, відстежуючи свої пристрої та номери телефонів.

Щоб уникнути потрапляння в пастку зловмисників, користувачам Android не слід завантажувати APK-файли поза межами Google Play, не надавати доступ непов’язаним програмам і переконатися, що на пристрої ввімкнено Play Protect.