Un análisis de los servicios de cuenta verificada por teléfono (PVA) de SMS ha llevado al descubrimiento de una plataforma maliciosa construida sobre una red de bots que involucra a miles de teléfonos Android infectados, una vez más subrayando las fallas al confiar en SMS para la validación de cuentas.
Los servicios SMS PVA, desde que ganaron prevalencia en 2018, brindan a los usuarios números móviles alternativos que pueden usarse para registrarse en otros servicios y plataformas en línea, y ayudan a evitar la autenticación basada en SMS y los mecanismos de inicio de sesión único (SSO) implementados para verificar cuentas nuevas
“Este tipo de servicio puede ser utilizado por actores maliciosos para registrar cuentas desechables en masa o crear cuentas verificadas por teléfono para realizar fraudes y otras actividades delictivas”, investigadores de Trend Micro. dijo en un informe publicado la semana pasada.
Los datos de telemetría recopilados por la empresa muestran que la mayoría de las infecciones se ubican en Indonesia (47.357), seguida de Rusia (16.157), Tailandia (11.196), India (8.109), Francia (5.548), Perú (4.915), Marruecos ( 4822), Sudáfrica (4413), Ucrania (2920) y Malasia (2779).
La mayoría de los dispositivos afectados son teléfonos Android económicos ensamblados por fabricantes de equipos originales como Lava, ZTE, Mione, Meizu, Huawei, Oppo y HTC.
Un servicio en particular, denominado smspva[.]net, se compone de teléfonos Android infectados con malware que intercepta SMS, que los investigadores sospechan que podría haber ocurrido de dos maneras: a través de malware descargado accidentalmente por los usuarios o a través de software malicioso precargado en los dispositivos durante la fabricación, lo que implica un compromiso de la cadena de suministro. .
El servicio clandestino VPA anuncia “números de teléfono virtuales masivos” para su uso en varias plataformas a través de una API, además de afirmar estar en posesión de números de teléfono que abarcan más de 100 países.
El malware guerrillero (“plug.dex“), por su parte, está diseñado para analizar los mensajes SMS recibidos en el teléfono Android afectado, compararlos con patrones de búsqueda específicos recibidos de un servidor remoto y luego exfiltrar los mensajes que coinciden con esas expresiones de vuelta al servidor.
“El malware sigue siendo de bajo perfil, recopilando solo los mensajes de texto que coinciden con la aplicación solicitada para que pueda continuar esta actividad de forma encubierta durante largos períodos”, dijeron los investigadores. “Si el servicio SMS PVA permite a sus clientes acceder a todos los mensajes en los teléfonos infectados, los propietarios notarían rápidamente el problema”.
Dado que los portales en línea a menudo autentican cuentas nuevas mediante la verificación cruzada de la ubicación (es decir, la dirección IP) de los usuarios con sus números de teléfono durante el registro, los servicios SMS PVA sortean esta restricción al utilizar servidores proxy residenciales y VPN para conectarse a la plataforma deseada. .
Además, estos servicios solo venden los códigos de confirmación de un solo uso necesarios en el momento del registro de la cuenta, y el operador de la botnet utiliza el ejército de dispositivos comprometidos para recibir, examinar e informar los códigos de verificación de SMS sin el conocimiento y consentimiento de los propietarios.
En otras palabras, la botnet facilita el acceso fácil a miles de números móviles en diferentes países, lo que permite a los actores registrar nuevas cuentas en masa y usarlas para varias estafas o incluso participar en comportamientos coordinados de usuarios no auténticos.
“La presencia de los servicios SMS PVA hace otra mella en la integridad de la verificación de SMS como medio principal de validación de cuentas”, dijeron los investigadores.
“La escala a la que SMS PVA puede proporcionar números móviles significa que los métodos habituales para garantizar la validez, como incluir en la lista negra números móviles previamente vinculados a abusos de cuentas o identificar números pertenecientes a servicios de VoIP o puertas de enlace de SMS, no serán suficientes”.
About the Author
