セキュリティ企業Zimperiumの研究者がこの悪意のあるキャンペーンを発見し、2022年2月から監視を続けています。彼らは、このキャンペーンに関連する少なくとも107,000種類のマルウェアサンプルを検出したと報告した。

マルウェアは、600 を超える世界的なブランドからの OTP コードを含むメッセージを追跡します。その中には、数億人のユーザーを抱えるものもあります。ハッカーの動機は金銭的なものだ。

Telegram ボットが APK ファイルを送信するためにユーザーに電話番号の提供を求める

Zimperium によると、SMS 窃盗マルウェアは悪意のある広告や Telegram ボットを介して配布され、被害者と自動的に通信します。ハッカーが攻撃に使用するシナリオは 2 つあります。

具体的には、最初のケースでは、被害者は偽の Google Play ページにアクセスするように騙されます。もう 1 つのケースでは、Telegram ボットはユーザーに海賊版の Android アプリを提供すると約束しますが、まず APK ファイルを受け取るために電話番号を提供する必要があります。ボットはその電話番号を使用して新しい APK ファイルを生成し、ハッカーが将来的に被害者を追跡したり攻撃したりできるようになります。

Zimperiumによると、この悪質なキャンペーンでは、13のコマンド＆コントロールサーバーによって制御される2,600個のTelegramボットを使用して、さまざまなAndroid APKを宣伝したという。被害者は113カ国に広がったが、大半はインドとロシア出身だった。アメリカ、ブラジル、メキシコでも被害者の数は相当多い。これらの数字は、キャンペーンの背後にある大規模かつ高度に洗練された作戦の憂慮すべき実態を描き出している。

専門家は、マルウェアがキャプチャしたSMSメッセージをウェブサイト「fastsms.su」のAPIエンドポイントに送信することを発見しました。このウェブサイトは、オンライン プラットフォームやサービスの匿名化と認証に使用できる海外の仮想電話番号へのアクセスを販売しています。感染したデバイスは被害者の知らないうちに悪用された可能性が高い。

さらに、被害者が SMS へのアクセスを許可することで、マルウェアは SMS メッセージを読み取り、アカウント登録や 2 要素認証時の OTP コードなどの機密情報を盗むことができます。その結果、被害者は電話料金が急騰したり、知らないうちに自分のデバイスや電話番号が追跡されて違法行為に巻き込まれたりする可能性があります。

悪意のある人物の罠に陥らないようにするために、Android ユーザーは Google Play 以外から APK ファイルをダウンロードせず、無関係なアプリケーションへのアクセスを許可せず、デバイスで Play Protect が有効になっていることを確認する必要があります。