Малуер за Android използва хиляди Telegram-ботове за кражбите на SMS
Експертите на Zimperium са разкрили акция за злотворен програмен продукт, ориентирана към Android устройствата в целия свят. Нападателите употребяват хиляди ботове в Telegram, с цел да заразят устройствата със злотворен програмен продукт, който краде SMS-и и еднократните пароли за двуфакторно засвидетелствуване от над 600 услуги.
Изследователите оповестяват, че наблюдават тази активност от февруари 2022 година насам. Според тях с тази акция са свързани най-малко 107 000 разнообразни мостри на злотворен програмен продукт. Повечето от жертвите се намират в Индия и Русия, само че също по този начин много жертви са открити в Бразилия, Мексико и Съединени американски щати. Като цяло потребителите от 113 страни са били наранени от опасността.
Очевидно операторите на зловредния програмен продукт преследват финансова полза и употребяват инфектираните устройства като ретранслатори за засвидетелствуване и анонимизиране.
Зловредният програмен продукт за кражба на SMS се популяризира или посредством злонамерени реклами, или посредством Telegram ботове, които автоматизират връзката с потребителя.
В първия случай жертвите следват рекламните линкове към страници, които имитират магазина на Гугъл Play, където виждат повишен брой изтегляния на приложението, което би трябвало да сътвори усещане за неговата легитимност и сигурност.
Във втория случай Telegram ботовете дават обещание да дават на жертвите пиратско приложение за Android, само че желаят телефонен номер, преди да споделят APK файла. В последна сметка ботът употребява получения номер, с цел да сътвори нов APK, което му разрешава да наблюдава персонално потребителя и да прави други офанзиви.
Зловредният програмен продукт изисква позволения за SMS достъп до устройството на жертвата, което му разрешава да прихваща еднократните пароли, нужни за регистрацията на сметки и двуфакторното засвидетелствуване.
Общо към 2600 бота на Telegram се употребяват за разпространение на разнообразни APK файлове, които се ръководят от 13 контролни сървъра.
Изследователите са открили, че зловредният програмен продукт в последна сметка препраща прихванатите SMS известия към избрана последна точка на API на fastsms[.]su.
