Android

世界中のAndroid端末を標的とした悪質なキャンペーンは、何千ものTelegramボットを利用して端末をSMS窃取マルウェアに感染させ、600以上のサービスのワンタイムパスワード(OTP)を盗み出す。

Zimperiumの研究者はこの作戦を発見し、2022年2月から追跡しています。彼らは、このキャンペーンに関連する少なくとも107,000の異なるマルウェアサンプルを発見したと報告しています。

サイバー犯罪者の動機は金銭的利益であり、感染したデバイスを認証および匿名化の中継として使用している可能性が高い。

テレグラムの罠

SMSステイラーは、マルバタイジングまたは被害者との通信を自動化するTelegramボットを通じて配布されます。

最初のケースでは、被害者はGoogle Playを模倣したページに誘導され、ダウンロード数を誇張して報告することで正当性をアピールし、誤った信頼感を抱かせます。

Telegramでは、ボットはAndroidプラットフォーム用の海賊版アプリケーションをユーザーに提供することを約束し、APKファイルを共有する前に電話番号を要求する。

Telegramのボットは、その番号を使用して新しいAPKを生成し、パーソナライズされた追跡や将来の攻撃を可能にする。

Telegram bot delivering the SMS stealer
被害者にSMSステラーを配信するTelegramボット
ソースはこちら:Zimperium

Zimperiumによると、この作戦では2,600台のTelegramボットを使ってさまざまなAndroid APKを宣伝しており、13台のコマンド&コントロール(C2)サーバーによって制御されているという。

このキャンペーンの被害者の多くはインドとロシアにおり、ブラジル、メキシコ、米国でもかなりの被害者が出ている。

金銭の発生

Zimperiumは、このマルウェアが捕捉したSMSメッセージをウェブサイト「fastsms.su」の特定のAPIエンドポイントに送信することを発見した。

このサイトでは、訪問者が外国の「仮想」電話番号へのアクセスを購入することができ、匿名化やオンラインプラットフォームやサービスへの認証に使用できる。

Fast SMS website
Fast SMSのウェブサイト
ソースは こちら:

感染したデバイスは、被害者が知らないうちにそのサービスによって活発に利用されている可能性が非常に高い。

要求されたAndroid SMSのアクセス許可により、マルウェアはアカウント登録や二要素認証に必要なOTPを取得することができます。

The stealer malware exfiltrating SMS to the site's API
Fast SMSサイトにSMSを流出させるマルウェア
ソースはこちら:Zimperium

はZimperiumの調査結果についてFast SMSサービスに問い合わせたが、公表までに回答は得られなかった。

被害者にとっては、携帯電話口座に不正な請求が発生する可能性があるほか、端末や番号をたどって違法行為に巻き込まれる可能性もある。

電話番号の不正利用を避けるには、Google Play以外からのAPKファイルのダウンロードを避け、無関係な機能を持つアプリに危険な権限を与えないようにし、端末でPlayプロテクトが有効になっていることを確認する。