Dünya çapında Android cihazları hedefleyen kötü niyetli bir kampanya, Cihazları SMS çalan kötü amaçlı yazılımlarla enfekte etmek ve 600'den fazla hizmet için bir kerelik 2FA şifreleri (OTPS) çalmak için binlerce telgraf botu kullanıyor.
Zimperium araştırmacıları operasyonu keşfetti ve Şubat 2022'den beri izliyorlar. Kampanya ile ilişkili en az 107.000 farklı kötü amaçlı yazılım örneği bulduğunu bildiriyorlar.
Siber suçlular, büyük olasılıkla enfekte olmuş cihazları kimlik doğrulama ve anonimleştirme röleleri olarak kullanan finansal kazanç ile motive edilmektedir.
SMS Stealer, kurbanla iletişimi otomatikleştiren kötüverizasyon veya telgraf botları yoluyla dağıtılır.
İlk durumda, kurbanlar Google Play'i taklit eden sayfalara yönlendirilir, meşruiyet eklemek ve yanlış bir güven duygusu yaratmak için şişirilmiş indirme sayımlarını bildirir.
Telegram'da Bots, kullanıcıya Android platformu için Pirated bir uygulama vermeyi vaat ederek APK dosyasını paylaşmadan önce telefon numaralarını istemektedir.
Telegram botu, bu numarayı yeni bir APK oluşturmak için kullanır, kişiselleştirilmiş izleme veya gelecekteki saldırıları mümkün kılar.
Zimperium, işlemin 13 komut ve kontrol (C2) sunucusu tarafından kontrol edilen çeşitli Android APK'ları tanıtmak için 2.600 telgraf botu kullandığını söylüyor.
Bu kampanyanın kurbanlarının çoğu Hindistan ve Rusya'da bulunurken, Brezilya, Meksika ve Amerika Birleşik Devletleri de kurban sayılarına sahip.
Zimperium, kötü amaçlı yazılımın yakalanan SMS mesajlarını 'fastsms.su' web sitesindeki belirli bir API uç noktasına ilettiğini buldu.
Site, ziyaretçilerin anonimleştirme ve çevrimiçi platformlara ve hizmetlere kimlik doğrulaması için kullanabilecekleri yabancı ülkelerdeki "sanal" telefon numaralarına erişim satın almalarını sağlar.
Enfekte cihazların bu hizmet tarafından kurbanları bilmeden aktif olarak kullanılması muhtemeldir.
İstenen Android SMS erişim izinleri, kötü amaçlı yazılımların hesap kayıtları ve iki faktörlü kimlik doğrulama için gerekli OTP'leri yakalamasına izin verir.
BleepingComputer, Zimperium'un bulgularını sormak için FIT SMS hizmetiyle temasa geçti, ancak yayınla bir yanıt mevcut değildi.
Mağdurlar için, bu, mobil hesaplarında yetkisiz ücretlere neden olabilirken, cihazlarına ve numaralarına kadar uzanan yasadışı faaliyetlerde de yer alabilirler.
Telefon numarası kötüye kullanımından kaçınmak için, Google Play dışından APK dosyalarını indirmekten kaçının, ilgisiz işlevselliğe sahip uygulamalara riskli izinler vermeyin ve Play Protect'in cihazınızda etkin olduğundan emin olun.
Android Spyware 'Mandrake' 2022'den beri Google Play'deki uygulamalarda gizli
Telegram Zero-Day, video olarak kötü niyetli Android APK'ların gönderilmesine izin verdi
Yeni Medusa Kötü Yazılım Varyantları Yedi Ülkede Android Kullanıcıları Hedef
Yeni Android kötü amaçlı yazılım, banka hesaplarını boşalttıktan sonra cihazınızı siliyor
Google Pixel 6 Serisi Telefonlar Fabrika Sıfırlamasından Sonra Tuğla
Kaynak: Bleeping Computer