Uma campanha maliciosa voltada a dispositivos Android em todo o mundo está utilizando milhares de bots do Telegram para infectar dispositivos com malware de roubo de SMS e roubar senhas de dois fatores para uma única utilização (OTPs) para mais de 600 serviços.
Pesquisadores da Zimperium descobriram a operação e estão rastreando-a desde fevereiro de 2022.
Eles relataram encontrar pelo menos 107.000 amostras de malware distintas associadas à campanha.
Os cibercriminosos têm motivações financeiras, provavelmente usando dispositivos infectados como relays de autenticação e anonimização.
O malware de roubo de SMS é distribuído ou por meio de malvertising ou por bots do Telegram que automatizam a comunicação com a vítima.
No primeiro caso, as vítimas são levadas a páginas que imitam o Google Play, apresentando números inflados de downloads para adicionar legitimidade e criar um falso senso de confiança.
No Telegram, os bots prometem fornecer ao usuário uma aplicação pirata para a plataforma Android, solicitando o número de telefone antes de compartilharem o arquivo APK.
O bot do Telegram usa esse número para gerar um novo APK, possibilitando o rastreamento personalizado ou ataques futuros.
A Zimperium afirma que a operação usa 2.600 bots do Telegram para promover vários APKs Android, que são controlados por 13 servidores de comando e controle (C2).
A maioria das vítimas dessa campanha está localizada na Índia e Rússia, enquanto Brasil, México e Estados Unidos também têm contagens significativas de vítimas.
A Zimperium descobriu que o malware transmite as mensagens SMS capturadas para um endpoint de API específico no site 'fastsms.su'.
O site permite que visitantes comprem acesso a números de telefone "virtuais" em países estrangeiros, que podem usar para anonimização e para se autenticar em plataformas e serviços online.
É muito provável que os dispositivos infectados estejam sendo usados ativamente por esse serviço sem o conhecimento das vítimas.
As permissões de acesso a SMS solicitadas permitem que o malware capture as OTPs necessárias para registros de contas e autenticação de dois fatores.
Para as vítimas, isso pode acarretar em cobranças não autorizadas em sua conta móvel, enquanto também podem ser implicadas em atividades ilegais rastreadas até seu dispositivo e número.
Para evitar o abuso de número de telefone, evite baixar arquivos APK fora do Google Play, não conceda permissões arriscadas a apps com funcionalidade não relacionada e garanta que o Play Protect esteja ativo no seu dispositivo.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...