Експертите на Zimperium са открили кампания за зловреден софтуер, насочена към Android устройствата в целия свят. Нападателите използват хиляди ботове в Telegram, за да заразят устройствата със зловреден софтуер, който краде SMS-и и еднократните пароли за двуфакторно удостоверяване от над 600 услуги.

Изследователите съобщават, че проследяват тази дейност от февруари 2022 г. насам. Според тях с тази кампания са свързани поне 107 000 различни образци на зловреден софтуер. Повечето от жертвите се намират в Индия и Русия, но също така доста жертви са открити в Бразилия, Мексико и САЩ. Като цяло потребителите от 113 държави са били засегнати от заплахата.

Очевидно операторите на зловредния софтуер преследват финансова изгода и използват заразените устройства като ретранслатори за удостоверяване и анонимизиране.

Зловредният софтуер за кражба на SMS се разпространява или чрез злонамерени реклами, или чрез Telegram ботове, които автоматизират комуникацията с потребителя.

В първия случай жертвите следват рекламните линкове към страници, които имитират магазина на Google Play, където виждат завишен брой изтегляния на приложението, което трябва да създаде впечатление за неговата легитимност и сигурност.

Във втория случай Telegram ботовете обещават да предоставят на жертвите пиратско приложение за Android, но искат телефонен номер, преди да споделят APK файла. В крайна сметка ботът използва получения номер, за да създаде нов APK, което му позволява да проследи лично потребителя и да извършва други атаки.

Зловредният софтуер изисква разрешения за SMS достъп до устройството на жертвата, което му позволява да прихваща еднократните пароли, необходими за регистрацията на акаунти и двуфакторното удостоверяване.

Общо около 2600 бота на Telegram се използват за популяризиране на различни APK файлове, които се управляват от 13 контролни сървъра.

Изследователите са установили, че зловредният софтуер в крайна сметка препраща прихванатите SMS съобщения към определена крайна точка на API на fastsms[.]su.