Una massiccia campagna di furto di SMS infetta i dispositivi Android in 113 paesi

Vai ai contenuti

Una massiccia campagna di furto di SMS infetta i dispositivi Android in 113 paesi

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Pubblicato da Angelo Domeneghini in SMS · 31 Luglio 2024
Tags: #sicurezza#truffa#sms#android
Una massiccia campagna di furto di SMS infetta i dispositivi Android in 113 paesi



Una campagna dannosa che prende di mira i dispositivi Android in tutto il mondo utilizza migliaia di bot di Telegram per infettare i dispositivi con malware che ruba SMS e rubare password 2FA (OTP) monouso per oltre 600 servizi.

I ricercatori di Zimperium hanno scoperto l'operazione e la stanno monitorando da febbraio 2022.
Hanno riferito di aver trovato almeno 107.000 campioni di malware distinti associati alla campagna.

I criminali informatici sono motivati ​​dal guadagno finanziario, molto probabilmente utilizzando dispositivi infetti come relay di autenticazione e anonimizzazione.

Il furto di SMS viene distribuito tramite malvertising o bot di Telegram che automatizzano le comunicazioni con la vittima.

Nel primo caso, le vittime vengono indirizzate a pagine che imitano Google Play, segnalando conteggi di download gonfiati per aggiungere legittimità e creare un falso senso di fiducia.

Su Telegram, i bot promettono di fornire all'utente un'applicazione pirata per la piattaforma Android, chiedendo il suo numero di telefono prima di condividere il file APK.

Il bot di Telegram utilizza quel numero per generare un nuovo APK, rendendo possibile il tracciamento personalizzato o futuri attacchi.

Zimperium afferma che l'operazione utilizza 2.600 bot di Telegram per promuovere vari APK Android, che sono controllati da 13 server di comando e controllo (C2).

La maggior parte delle vittime di questa campagna si trova in India e Russia, mentre anche Brasile, Messico e Stati Uniti hanno un numero significativo di vittime.

Zimperium ha scoperto che il malware trasmette i messaggi SMS catturati a uno specifico endpoint API sul sito Web "fastsms.su".

Il sito consente ai visitatori di acquistare l'accesso a numeri di telefono "virtuali" in paesi stranieri, che possono utilizzare per l'anonimizzazione e per l'autenticazione a piattaforme e servizi online.

È molto probabile che i dispositivi infetti siano utilizzati attivamente da quel servizio senza che le vittime lo sappiano.

Le autorizzazioni di accesso Android SMS richieste consentono al malware di catturare le OTP necessarie per la registrazione degli account e l'autenticazione a due fattori.

BleepingComputer ha contattato il servizio Fast SMS per chiedere informazioni sulle scoperte di Zimperium, ma una risposta non è stata disponibile al momento della pubblicazione.

Per le vittime, ciò può comportare addebiti non autorizzati sul loro account mobile, mentre potrebbero anche essere implicate in attività illegali riconducibili al loro dispositivo e numero.

Per evitare l'abuso dei numeri di telefono, non scaricare file APK da fonti diverse da Google Play, non concedere autorizzazioni rischiose ad app con funzionalità non correlate e assicurati che Play Protect sia attivo sul tuo dispositivo.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti