Новый SMS-стилер для Android заразил пользователей в 113 странах и охотится за одноразовыми паролями

Исследователи из подразделения zLabs компании Zimperium раскрыли одну из самых масштабных кампаний по краже SMS на Android за последнее время. Вредоносная программа охотится именно за одноразовыми паролями (OTP) — теми самыми кодами подтверждения, которые компании массово используют для защиты аккаунтов. Кампания работает как минимум с февраля 2022 года, а за это время атакующие не раз меняли тактику, чтобы обходить средства защиты и добираться до конфиденциальных корпоративных данных.

Как распространяется зловред

Заражение начинается с обманчивой рекламы и телеграм-ботов, маскирующихся под легитимные сервисы. Жертву убеждают установить вредоносный APK-файл, который генерируется индивидуально — под конкретный номер телефона пользователя. После установки малварь получает доступ к SMS-сообщениям устройства и может незаметно извлекать из них коды подтверждения.

Инфраструктура кампании тоже эволюционировала. Изначально в качестве командного сервера (C&C) использовался Firebase, но позже операторы перешли на репозитории GitHub, где хранили обфусцированные C&C-адреса и сами вредоносные APK. Для большинства управляющих серверов применялся фреймворк Laravel.

Помимо SMS и OTP, вредонос собирает информацию об устройстве жертвы и отправляет всё это на серверы злоумышленников — что опасно как для личной безопасности пользователей, так и для корпоративной инфраструктуры компаний, чьи сотрудники оказались заражены.

Масштаб операции

По данным Zimperium, кампания охватила 113 стран, причём главными целями стали Россия и Индия. Исследователи обнаружили более 107 000 уникальных образцов вредоносного ПО, из которых 95% оказались неизвестны стандартным антивирусным базам — это говорит о высоком уровне применяемых методов обхода детектирования.

Малварь отслеживала одноразовые пароли более чем 600 глобальных брендов, а потенциальное число пострадавших пользователей исчисляется сотнями миллионов. Техническая инфраструктура кампании включала 13 командных серверов и около 2600 телеграм-ботов, использовавшихся для распространения заражённых файлов.

Отдельно исследователи отметили связанный с кампанией сайт fastsms.su, который раскрывает финансовую подоплёку операции: на нём продаются похищенные номера телефонов и перехваченные OTP-коды, а цена зависит от страны и оператора связи.

Прицел на корпоративные аккаунты

Особый интерес представляет то, что зловред специально настроен на перехват писем одного из крупных облачных провайдеров электронной почты и офисных сервисов — это указывает на то, что операторы кампании целенаправленно охотятся за учётными записями корпоративного уровня, а не только за личными аккаунтами рядовых пользователей.

Что это значит для бизнеса

Масштаб и сложность кампании показывают, как быстро меняется ландшафт угроз в мобильной среде. Кража SMS и OTP — это не изолированный инцидент, а часто первый шаг к более серьёзному мошенничеству: захвату аккаунтов, финансовым потерям и утечке корпоративных данных. Эксперты подчёркивают, что защититься от подобных атак можно только за счёт многоуровневого подхода — обучения сотрудников распознавать поддельные приложения и рекламу, а также внедрения продвинутых средств детектирования, способных выявлять ранее неизвестные образцы малвари.

Источник: Cybersecurity News.