Egy Android eszközöket célzó rosszindulatú kampány világszerte több ezer Telegram botot használ, hogy SMS-ben küldött kártevőkkel fertőzze meg az eszközöket, és több mint 600 szolgáltatáshoz szerezzen meg egyszeri 2FA (Two-Factor Authentication) jelszavakat (OTP – One Time Password). A Zimperium kutatói 2022 február óta legalább 107 000 különböző malware mintát találtak a kampányhoz kapcsolódóan. A hackerek legfőbb motivációja ebben az esetben is a pénzügyi haszonszerzés, emellett fertőzött eszközöket használnak hitelesítésre és anonimizálásra.
Telegram csapda
Az SMS-ben küldött kártevőket malwereken vagy Telegram botokon keresztül terjesztik, amelyek automatizálják az áldozattal való kommunikációt.
A kártékony szoftverek az áldozatokat a Google Playt imitáló oldalakra irányítják át, amelyek azért, hogy növeljék a legitimitást és hamis bizalom érzetet keltsenek a felhasználóknál, magas letöltési számot mutatnak.
A Telegram botok elkérik az adott felhasználó telefonszámát, mielőtt letölthetnék az APK fájlt. Ezt követően a Telegram bot ezt a számot használja új APK létrehozására, lehetővé téve a személyre szabott nyomon követést és a jövőbeli támadásokat.
A Zimperium szerint a művelet 2600 Telegram botot használ a különböző Android APK-k népszerűsítésére, amelyeket 13 parancs- és vezérlőszerver (C2) vezérel.
Pénztermelés
A Zimperium megállapította, hogy a malware a rögzített SMS üzeneteket egy adott API végpontra továbbítja a “fastsms[.]su” webhelyen. Ezen az oldalon pedig hozzáférést vesznek külföldi “virtuális” telefonszámokhoz, amelyeket anonimizálásra valamint online platformokon és szolgáltatásokon való hitelesítésre használhatnak.
Az Android SMS hozzáférési engedélyek lehetővé teszik a malwareknek, hogy rögzítsék a fiókregisztrációhoz és a kétfaktoros hitelesítéshez szükséges OTP-ket.
Így a fertőzött eszközöket az áldozatok tudta nélkül aktívan használja az adott szolgáltatás, amely jogosulatlan díjakat von maga után a mobilszámlákon, miközben nem csak az eszközük, hanem maguk az áldozatok is belekeveredhetnek illegális tevékenységekbe.
A telefonszámokkal való visszaélés elkerülése érdekében:
- Minden esetben bizonyosodjunk meg arról, hogy az APK fájl amit telepíteni akarunk, az megbízható forrásból származik.
- Ne engedélyezzünk az alkalmazásnak olyan funkciók használatát, melyek nem kapcsolódnak a szolgáltatáshoz.
- Győződjünk meg arról, hogy a Play Protect aktív az eszközön.
A pénzügyi csalások elkerüléséhez többet megtudhat a kiberpajzs.hu weboldalán.
