Исследователи из подразделения zLabs компании Zimperium раскрыли одну из самых масштабных кампаний по краже SMS на Android за последнее время. Вредоносная программа охотится именно за одноразовыми паролями (OTP) — теми самыми кодами подтверждения, которые компании массово используют для защиты аккаунтов. Кампания работает как минимум с февраля 2022 года, а за это время атакующие не раз меняли тактику, чтобы обходить средства защиты и добираться до конфиденциальных корпоративных данных.
Как распространяется зловред
Заражение начинается с обманчивой рекламы и телеграм-ботов, маскирующихся под легитимные сервисы. Жертву убеждают установить вредоносный APK-файл, который генерируется индивидуально — под конкретный номер телефона пользователя. После установки малварь получает доступ к SMS-сообщениям устройства и может незаметно извлекать из них коды подтверждения.
Инфраструктура кампании тоже эволюционировала. Изначально в качестве командного сервера (C&C) использовался Firebase, но позже операторы перешли на репозитории GitHub, где хранили обфусцированные C&C-адреса и сами вредоносные APK. Для большинства управляющих серверов применялся фреймворк Laravel.
Помимо SMS и OTP, вредонос собирает информацию об устройстве жертвы и отправляет всё это на серверы злоумышленников — что опасно как для личной безопасности пользователей, так и для корпоративной инфраструктуры компаний, чьи сотрудники оказались заражены.
Масштаб операции
По данным Zimperium, кампания охватила 113 стран, причём главными целями стали Россия и Индия. Исследователи обнаружили более 107 000 уникальных образцов вредоносного ПО, из которых 95% оказались неизвестны стандартным антивирусным базам — это говорит о высоком уровне применяемых методов обхода детектирования.
Малварь отслеживала одноразовые пароли более чем 600 глобальных брендов, а потенциальное число пострадавших пользователей исчисляется сотнями миллионов. Техническая инфраструктура кампании включала 13 командных серверов и около 2600 телеграм-ботов, использовавшихся для распространения заражённых файлов.
Отдельно исследователи отметили связанный с кампанией сайт fastsms.su, который раскрывает финансовую подоплёку операции: на нём продаются похищенные номера телефонов и перехваченные OTP-коды, а цена зависит от страны и оператора связи.
Прицел на корпоративные аккаунты
Особый интерес представляет то, что зловред специально настроен на перехват писем одного из крупных облачных провайдеров электронной почты и офисных сервисов — это указывает на то, что операторы кампании целенаправленно охотятся за учётными записями корпоративного уровня, а не только за личными аккаунтами рядовых пользователей.
Что это значит для бизнеса
Масштаб и сложность кампании показывают, как быстро меняется ландшафт угроз в мобильной среде. Кража SMS и OTP — это не изолированный инцидент, а часто первый шаг к более серьёзному мошенничеству: захвату аккаунтов, финансовым потерям и утечке корпоративных данных. Эксперты подчёркивают, что защититься от подобных атак можно только за счёт многоуровневого подхода — обучения сотрудников распознавать поддельные приложения и рекламу, а также внедрения продвинутых средств детектирования, способных выявлять ранее неизвестные образцы малвари.
Источник: Cybersecurity News.