Згідно зі звітом компанії з безпеки Zimperium, цю кампанію виявляли та контролювали з лютого 2022 року. На сьогоднішній день виявлено щонайменше 107 000 пов'язаних зразків шкідливого програмного забезпечення.
Шкідливе програмне забезпечення в основному націлене на пристрої Android, з метою крадіжки OTP-кодів, типу одноразових паролів, які зазвичай використовуються для двофакторної автентифікації під час входу в систему або онлайн-транзакцій.
У кампанії для поширення шкідливого програмного забезпечення, яке контролювалося 13 серверами командування та управління (C&C), використовувалося понад 2600 ботів Telegram. Жертвами цієї кампанії стали жителі 113 країн, але найбільша їхня концентрація була в Індії, Росії, Бразилії, Мексиці та Сполучених Штатах.
Користувачі Android ризикують бути викраденими з їхніх OTP-кодів
Шкідливе програмне забезпечення поширюється двома основними способами. Жертв можна обманом змусити відвідати підроблені веб-сайти, схожі на Google Play. Або ж жертв можна заманити до завантаження піратських APK-додатків через ботів Telegram. Щоб завантажити додаток, користувачі повинні надати свій номер телефону, який потім шкідливе програмне забезпечення використовує для створення нового APK-файлу, що дозволяє зловмиснику відстежувати або здійснювати подальші атаки.
Коли користувач несвідомо надає доступ до SMS-повідомлень зараженій шкідливим програмним забезпеченням, шкідливе програмне забезпечення зможе зчитувати SMS-повідомлення, включаючи OTP-коди, надіслані на телефон. Це не лише дозволяє зловмисникам красти конфіденційну інформацію, але й наражає жертву на ризик зловживання обліковим записом і навіть фінансового шахрайства.
Після крадіжки OTP-коду зловмисник може легко отримати доступ до банківських рахунків, електронних гаманців чи інших онлайн-сервісів жертви, що призводить до серйозних фінансових наслідків. Крім того, деякі жертви можуть бути залучені до незаконної діяльності, навіть не підозрюючи про це.
Zimperium також виявив, що шкідливе програмне забезпечення передавало викрадені SMS-повідомлення до кінцевої точки API за адресою «fastsms.su» – веб-сайту, який продає доступ до віртуальних телефонних номерів в іноземних країнах. Ці телефонні номери можна використовувати для анонімізації онлайн-транзакцій, що ускладнює їх відстеження.
Щоб захистити себе від ризику атаки, користувачам Android рекомендується:
Не завантажуйте APK-файли з джерел поза Google Play: ці файли можуть містити шкідливий код, який може легко викрасти вашу інформацію.
Не надавайте доступ до SMS невідомим програмам: це обмежить ризик того, що шкідливе програмне забезпечення зможе прочитати повідомлення, що містять ваш одноразовий пароль.
Увімкнути Play Protect: це функція безпеки Google Play, яка сканує та виявляє шкідливі програми на вашому пристрої.
Джерело: https://www.congluan.vn/nguoi-dung-co-nguy-co-bi-danh-cap-ma-otp-tren-dien-thoai-android-post306111.html
Коментар (0)