Laut einem Bericht des Sicherheitsunternehmens Zimperium wird diese Kampagne seit Februar 2022 erkannt und überwacht. Bis heute wurden mindestens 107.000 entsprechende Malware-Samples identifiziert.

Die Malware zielt in erster Linie auf Android-Geräte ab und hat das Ziel, OTP-Codes zu stehlen, eine Art Einmalkennwort, das häufig für die Zwei-Faktor-Authentifizierung bei Anmeldungen oder Online-Transaktionen verwendet wird.

Bei dieser Angriffskampagne wurden zur Verbreitung der Schadsoftware mehr als 2.600 Telegram-Bots eingesetzt, die von 13 Command & Control (C&C)-Servern gesteuert wurden. Die Opfer dieser Kampagne sind in 113 Ländern vertreten, am stärksten konzentriert sie sich jedoch auf Indien, Russland, Brasilien, Mexiko und die USA.

Malware wird hauptsächlich auf zwei Wegen verbreitet. Opfer können dazu verleitet werden, gefälschte Websites zu besuchen, die als Google Play getarnt sind. Oder die Opfer werden möglicherweise über Telegram-Bots dazu verleitet, Raubkopien von APK-Apps herunterzuladen. Um die App herunterzuladen, müssen Benutzer eine Telefonnummer angeben, die dann von der Malware verwendet wird, um eine neue APK-Datei zu generieren, die es Angreifern ermöglicht, weitere Angriffe zu verfolgen oder durchzuführen.

Wenn ein Benutzer einer bösartigen Anwendung versehentlich SMS-Zugriff gewährt, kann die Malware SMS-Nachrichten lesen, einschließlich der an das Telefon gesendeten OTP-Codes. Dies erleichtert Angreifern nicht nur den Diebstahl vertraulicher Informationen, sondern setzt Opfer auch der Gefahr von Kontomissbrauch und sogar Finanzbetrug aus.

Sobald der OTP-Code gestohlen wurde, können Angreifer problemlos auf die Bankkonten, E-Wallets oder andere Online-Dienste des Opfers zugreifen, was schwerwiegende finanzielle Folgen haben kann. Darüber hinaus sind manche Opfer möglicherweise auch in illegale Aktivitäten verwickelt, ohne es zu wissen.

Zimperium stellte außerdem fest, dass die Malware gestohlene SMS-Nachrichten an einen API-Endpunkt auf der Website „fastsms.su“ überträgt, einer Website, die auf den Verkauf des Zugangs zu virtuellen Telefonnummern im Ausland spezialisiert ist. Diese Telefonnummern können zur Anonymisierung von Online-Transaktionen verwendet werden, was die Rückverfolgung erschwert.

Um sich vor Angriffsrisiken zu schützen, wird Android-Benutzern Folgendes empfohlen:

Laden Sie keine APK-Dateien von Quellen außerhalb von Google Play herunter: Diese Dateien können schädlichen Code enthalten, mit dem Ihre Informationen leicht gestohlen werden können.

Gewähren Sie unbekannten Apps keinen SMS-Zugriff: Dadurch verringern Sie das Risiko, dass Schadsoftware Nachrichten mit Ihrem OTP-Code lesen kann.

Play Protect aktivieren: Dies ist eine Sicherheitsfunktion von Google Play, die schädliche Apps auf Ihrem Gerät scannt und erkennt.