Selon un rapport de la société de sécurité Zimperium, cette campagne est détectée et surveillée depuis février 2022. À ce jour, au moins 107 000 échantillons de logiciels malveillants associés ont été identifiés.

Le malware cible principalement les appareils Android, dans le but de voler les codes OTP, un type de mot de passe à usage unique, couramment utilisé pour l'authentification à deux facteurs lors des connexions ou des transactions en ligne.

Cette campagne d'attaque a utilisé plus de 2 600 bots Telegram pour propager le malware, contrôlé par 13 serveurs Command & Control (C&C). Les victimes de cette campagne sont réparties dans 113 pays, mais sont principalement concentrées en Inde, en Russie, au Brésil, au Mexique et aux États-Unis.

Les logiciels malveillants se propagent de deux manières principales. Les victimes peuvent être amenées à visiter de faux sites Web, déguisés en Google Play. Les victimes peuvent également être incitées à télécharger des applications APK piratées via des robots Telegram. Pour télécharger l'application, les utilisateurs doivent fournir un numéro de téléphone, qui est ensuite utilisé par le malware pour générer un nouveau fichier APK, permettant aux attaquants de suivre ou de mener d'autres attaques.

Lorsqu'un utilisateur accorde accidentellement l'accès SMS à une application malveillante, le logiciel malveillant pourra lire les messages SMS, y compris les codes OTP envoyés au téléphone. Non seulement cela facilite le vol d’informations sensibles par les attaquants, mais cela expose également les victimes à des risques d’abus de compte et même de fraude financière.

Une fois le code OTP volé, les attaquants peuvent facilement accéder aux comptes bancaires, aux portefeuilles électroniques ou à d'autres services en ligne de la victime, entraînant de graves conséquences financières. De plus, certaines victimes peuvent également être impliquées dans des activités illégales sans même le savoir.

Zimperium a également découvert que le logiciel malveillant transmet les messages SMS volés à un point de terminaison API sur le site Web « fastsms.su », un site Web spécialisé dans la vente d'accès à des numéros de téléphone virtuels à l'étranger. Ces numéros de téléphone peuvent être utilisés pour anonymiser les transactions en ligne, les rendant plus difficiles à retracer.

Pour se protéger du risque d’être attaqué, il est conseillé aux utilisateurs d’Android de :

Ne téléchargez pas de fichiers APK à partir de sources extérieures à Google Play : ces fichiers peuvent contenir du code malveillant qui peut facilement voler vos informations.

N'accordez pas l'accès SMS à des applications inconnues : cela limitera le risque que des logiciels malveillants puissent lire des messages contenant votre code OTP.

Activer Play Protect : il s'agit d'une fonctionnalité de sécurité de Google Play qui analyse et détecte les applications malveillantes sur votre appareil.