Dispositivos Android infectados em 113 países
31 de Julho de 2024

Uma campanha maliciosa voltada a dispositivos Android em todo o mundo está utilizando milhares de bots do Telegram para infectar dispositivos com malware de roubo de SMS e roubar senhas de dois fatores para uma única utilização (OTPs) para mais de 600 serviços.

Pesquisadores da Zimperium descobriram a operação e estão rastreando-a desde fevereiro de 2022.

Eles relataram encontrar pelo menos 107.000 amostras de malware distintas associadas à campanha.

Os cibercriminosos têm motivações financeiras, provavelmente usando dispositivos infectados como relays de autenticação e anonimização.

O malware de roubo de SMS é distribuído ou por meio de malvertising ou por bots do Telegram que automatizam a comunicação com a vítima.

No primeiro caso, as vítimas são levadas a páginas que imitam o Google Play, apresentando números inflados de downloads para adicionar legitimidade e criar um falso senso de confiança.

No Telegram, os bots prometem fornecer ao usuário uma aplicação pirata para a plataforma Android, solicitando o número de telefone antes de compartilharem o arquivo APK.

O bot do Telegram usa esse número para gerar um novo APK, possibilitando o rastreamento personalizado ou ataques futuros.

A Zimperium afirma que a operação usa 2.600 bots do Telegram para promover vários APKs Android, que são controlados por 13 servidores de comando e controle (C2).

A maioria das vítimas dessa campanha está localizada na Índia e Rússia, enquanto Brasil, México e Estados Unidos também têm contagens significativas de vítimas.

A Zimperium descobriu que o malware transmite as mensagens SMS capturadas para um endpoint de API específico no site 'fastsms.su'.

O site permite que visitantes comprem acesso a números de telefone "virtuais" em países estrangeiros, que podem usar para anonimização e para se autenticar em plataformas e serviços online.

É muito provável que os dispositivos infectados estejam sendo usados ativamente por esse serviço sem o conhecimento das vítimas.

As permissões de acesso a SMS solicitadas permitem que o malware capture as OTPs necessárias para registros de contas e autenticação de dois fatores.

Para as vítimas, isso pode acarretar em cobranças não autorizadas em sua conta móvel, enquanto também podem ser implicadas em atividades ilegais rastreadas até seu dispositivo e número.

Para evitar o abuso de número de telefone, evite baixar arquivos APK fora do Google Play, não conceda permissões arriscadas a apps com funcionalidade não relacionada e garanta que o Play Protect esteja ativo no seu dispositivo.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...