Google Play ストアで 100,000 回ダウンロードされた偽の Android SMS アプリケーションが、Microsoft、Google、Instagram、Telegram、Facebook などのサイトのアカウント作成サービスの SMS リレーとして密かに機能していることが判明しました。
研究者によると、感染したデバイスは「仮想番号」として貸し出され、新しいアカウントを作成する際にユーザーを確認するために使用されるワンタイム パスコードを中継します。
このアプリの総合評価は 3.4 ですが、多くのユーザー レビューは、それが偽物であり、携帯電話を乗っ取り、インストール時に複数の OTP (ワンタイム パスワード) を生成すると不満を漏らしています.
「偽のアプリです。このアプリをダウンロードするだけで、OTP by Google、Airtel の支払い、銀行の OTP、dream11 の OTP などの 4 ~ 5 回を使用します。OTP の種類はログイン時に表示されます」とレビューの 1 つを読みます。
Symoo は Evina のセキュリティ研究者である Maxime Ingrao によって発見されました。Maxime Ingrao はそれを Google に報告しましたが、Android チームからはまだ連絡がありません。執筆時点では、アプリは引き続き Google Play で入手できます。
.png)
も Symoo について Google に問い合わせており、回答があり次第、この記事を更新します。
ルーティング 2FA コード
デバイスにインストールすると、アプリは SMS を送信および読み取るためのアクセスを要求します。これは、Symoo が「使いやすい」SMS アプリとして販売しているため、正常に聞こえます。
最初の画面では、ユーザーに電話番号を提供するよう求めます。その後、リソースの読み込みの進行状況を示すと思われる偽の読み込み画面をオーバーレイします。
ただし、このプロセスは時間がかかるため、リモート オペレーターは複数の 2FA (2 要素認証) SMS テキストを送信して、さまざまなサービスでアカウントを作成し、その内容を読み取り、それをオペレーターに転送できます。
完了すると、アプリはフリーズし、約束された SMS インターフェイスに到達しないため、ユーザーは通常、アプリをアンインストールします。
この時点で、アプリはすでに Android ユーザーの電話番号を使用して、さまざまなオンライン プラットフォームで偽のアカウントを生成しており、レビュアーによると、作成したことのないアカウントのワンタイム パスコードでメッセージが埋め尽くされているという。
アカウントの販売
多くの場合、電話番号はアカウントを確認する唯一の方法であるため、違法または匿名の活動に従事したい人は、これらの仮名アカウントが役立つと感じています.
さらに、Maxime Ingrao は、Symoo アプリが SMS データを別のアプリケーション「Virtual Number」が使用するドメインに盗み出すことを発見しました。このアプリケーションは、ある時点で Google Play にもありましたが、その後削除されました。
「Virtual Number」アプリの開発者は、Google Play で「ActivationPW – Virtual numbers」という別のアプリも作成しました。このアプリは 10,000 回ダウンロードされ、アカウントの作成に使用できる「200 か国以上のオンライン番号」を提供しています。
このアプリを使用すると、ユーザーは 50 セント未満で番号を「レンタル」でき、多くの場合、その番号を使用してアカウントを確認できます。
確認はされていませんが、ActivationPW を使用してアカウントを作成する際に生成される OTP 検証コードを受信して転送するために、Symoo アプリが使用されていると考えられています。
これらのアプリを使用している場合は、SMS コンテンツを独自のサーバーにコピーするため、アンインストールする必要があります。
同社のプライバシー ポリシーでもこの動作が公開されていますが、「スパムをブロックしてサービスをバックアップするため」であるとのことです。
「Income SMS (SMS をスパム ブロックの一部として保存し、サード パーティのプラットフォーム、クラウド ストレージ、または通信プロバイダーを使用してサービスをバックアップします。(これらの記録をサード パーティと共有しないことに注意してください)」と Symoo のプライバシーを読むポリシー。
Comments