Se ha observado una nueva campaña maliciosa que utiliza aplicaciones maliciosas de Android para robar mensajes SMS de los usuarios desde al menos febrero de 2022 como parte de una campaña a gran escala.
Las aplicaciones maliciosas, que abarcan más de 107.000 muestras únicas, están diseñadas para interceptar contraseñas de un solo uso (OTP) utilizadas para la verificación de cuentas en línea para cometer fraude de identidad.
«De esas 107.000 muestras de malware, más de 99.000 de estas aplicaciones son/eran desconocidas y no están disponibles en repositorios generalmente disponibles», dijo la empresa de seguridad móvil Zimperium. dicho En un informe compartido con The Hacker News, se afirma que «este malware estaba monitoreando mensajes de contraseñas de un solo uso en más de 600 marcas globales, y algunas de ellas contaban con cientos de millones de usuarios».
Se han detectado víctimas de la campaña en 113 países, con India y Rusia encabezando la lista, seguidos de Brasil, México, Estados Unidos, Ucrania, España y Turquía.
El punto de partida del ataque es la instalación de una aplicación maliciosa que engaña a la víctima para que la instale. instalando en su dispositivo ya sea a través de anuncios engañosos que imitan los listados de aplicaciones de Google Play Store o cualquiera de los 2.600 bots de Telegram que sirven como canal de distribución haciéndose pasar por servicios legítimos (por ejemplo, Microsoft Word).
Una vez instalada, la aplicación solicita permiso para acceder a los mensajes SMS entrantes, tras lo cual se comunica con uno de los 13 servidores de comando y control (C2) para transmitir los mensajes SMS robados.
«El malware permanece oculto y monitorea constantemente los nuevos mensajes SMS entrantes», dijeron los investigadores. «Su objetivo principal son los OTP utilizados para la verificación de cuentas en línea».
Actualmente no está claro quién está detrás de la operación, aunque se ha observado que los actores de la amenaza aceptan varios métodos de pago, incluida la criptomoneda, para impulsar un servicio llamado Fast SMS (fastsms).[.]su) que permite a los clientes comprar acceso a números telefónicos virtuales.
Es probable que los números de teléfono asociados a los dispositivos infectados se estén utilizando sin el conocimiento del propietario para registrarse en varias cuentas en línea mediante la recopilación de las OTP necesarias para la autenticación de dos factores (2FA).
A principios de 2022, Trend Micro arrojó luz sobre un servicio similar con motivaciones financieras que acorralaba dispositivos Android en una botnet que podía usarse para «registrar cuentas desechables en masa o crear cuentas verificadas por teléfono para realizar fraudes y otras actividades delictivas».
«Estas credenciales robadas sirven como trampolín para otras actividades fraudulentas, como la creación de cuentas falsas en servicios populares para lanzar campañas de phishing o ataques de ingeniería social», dijo Zimperium.
Los hallazgos resaltan el continuo abuso de Telegram, una popular aplicación de mensajería instantánea con más de 950 millones de usuarios activos mensuales, por parte de actores maliciosos con diferentes propósitos que van desde la propagación de malware hasta C2.
A principios de este mes, Positive Technologies reveló dos familias de ladrones de SMS denominadas SMS Webpro y NotifySmsStealer que apuntan a usuarios de dispositivos Android en Bangladesh, India e Indonesia con el objetivo de desviar mensajes a un bot de Telegram mantenido por los actores de la amenaza.
La empresa rusa de ciberseguridad también identificó cepas de malware ladrones que se hacen pasar por TrueCaller y ICICI Bank, y son capaces de exfiltrar fotos de los usuarios, información del dispositivo y notificaciones a través de la plataforma de mensajería.
«La cadena de infección comienza con un típico ataque de phishing en WhatsApp», afirma la investigadora de seguridad Varvara Akhapkina dicho«Con pocas excepciones, el atacante utiliza sitios de phishing que se hacen pasar por bancos para lograr que los usuarios descarguen aplicaciones de ellos».
Otro malware que utiliza Telegram como servidor C2 es TgRATun troyano de acceso remoto de Windows que recientemente se actualizó para incluir una variante de Linux. Está equipado para descargar archivos, tomar capturas de pantalla y ejecutar comandos de forma remota.
«Telegram se utiliza ampliamente como mensajería corporativa en muchas empresas», Doctor Web dicho«Por lo tanto, no es sorprendente que los actores de amenazas puedan usarlo como un vector para distribuir malware y robar información confidencial: la popularidad del programa y el tráfico rutinario a los servidores de Telegram hacen que sea fácil disfrazar el malware en una red comprometida».