Эксперты по безопасности только что обнаружили вредоносную кампанию, которая крадет одноразовые пароли на устройствах Android по всему миру, заражая вредоносным ПО через тысячи ботов Telegram.
Исследователи из компании по безопасности Zimperium обнаружили эту вредоносную кампанию и отслеживают ее с февраля 2022 года. Они сообщили, что обнаружили не менее 107 000 различных образцов вредоносного ПО, связанных с кампанией.
Вредоносное ПО отслеживает сообщения, содержащие одноразовые пароли (OTP-коды) от более чем 600 мировых брендов, некоторые из которых имеют сотни миллионов пользователей. Мотив хакера — финансовый.
 |
| Telegram-бот просит пользователей указать номер телефона для отправки APK-файла |
По данным Zimperium, вредоносное ПО для кражи SMS будет распространяться через вредоносную рекламу или ботов Telegram, которые автоматически связываются с жертвами. Хакеры используют два сценария для атаки.
В частности, в первом случае жертву обманным путем заставляют перейти на поддельные страницы Google Play. В другом случае бот Telegram обещает предоставить пользователям пиратские приложения для Android, но сначала им нужно указать номер телефона для получения APK-файла. Бот будет использовать этот номер телефона для генерации нового APK-файла, что позволит хакеру отслеживать или атаковать жертву в будущем.
По данным Zimperium, вредоносная кампания использовала 2600 ботов Telegram для продвижения различных APK-файлов Android, контролируемых 13 серверами управления и контроля. Жертвы были из 113 стран, но большинство из них — из Индии и России. В США, Бразилии и Мексике число жертв также довольно велико. Эти цифры рисуют тревожную картину масштабной и крайне сложной операции, стоящей за кампанией.
Эксперты обнаружили, что вредоносная программа передает перехваченные SMS-сообщения на конечную точку API на сайте «fastsms.su». На этом сайте продается доступ к виртуальным телефонным номерам за рубежом, которые можно использовать для анонимизации и аутентификации онлайн-платформ и сервисов. Вероятно, зараженные устройства были использованы без ведома жертвы.
Кроме того, предоставляя доступ к СМС, жертва позволяет вредоносному ПО читать СМС-сообщения и красть конфиденциальную информацию, включая одноразовые пароли при регистрации учетной записи и двухфакторную аутентификацию. В результате жертвы могут столкнуться с резким ростом счетов за телефон или невольно оказаться втянутыми в противозаконную деятельность, отслеживая свои устройства и номера телефонов, ведущие к ним.
Чтобы не попасть в ловушку злоумышленников, пользователям Android не следует загружать APK-файлы за пределами Google Play, не предоставлять доступ посторонним приложениям и убедиться, что на устройстве включена функция Play Protect.
Источник: https://baoquocte.vn/canh-bao-chieu-tro-danh-cap-ma-otp-tren-thiet-bi-android-280849.html
Комментарий (0)