SMS Stealer Mobile Malware
Bei einem globalen Cyberangriff auf Android-Geräte werden Tausende von Telegram-Bots eingesetzt, um SMS-stehlende Malware zu verbreiten und einmalige 2FA-Passwörter (OTPs) für über 600 Dienste abzufangen. Forscher überwachen diese Operation seit Februar 2022 und haben mindestens 107.000 einzigartige Malware-Beispiele identifiziert, die mit der Kampagne in Verbindung stehen. Die Angreifer scheinen von finanziellen Anreizen getrieben zu sein und nutzen die kompromittierten Geräte wahrscheinlich, um die Authentifizierung zu erleichtern und die Anonymität zu erhöhen.
Inhaltsverzeichnis
Tausende Telegram-Bots verbreiten die SMS-Stealer-Malware
Die SMS-stehlende Malware wird hauptsächlich über zwei Methoden verbreitet: Malvertising und Telegram-Bots, die die Kommunikation mit den Opfern automatisieren.
Bei der ersten Methode werden die Opfer auf gefälschte Google Play-Seiten umgeleitet, die überhöhte Downloadzahlen anzeigen, um legitim zu erscheinen und das Vertrauen des Opfers zu gewinnen.
Auf Telegram bieten die Bots raubkopierte Android-Anwendungen an und fragen nach der Telefonnummer des Opfers, bevor sie die APK-Datei bereitstellen. Diese Nummer wird vom Bot verwendet, um eine angepasste APK zu erstellen, die personalisiertes Tracking oder zukünftige Angriffe ermöglicht.
Die Operation nutzt etwa 2.600 Telegram-Bots, um verschiedene Android-APKs zu verteilen. Diese werden alle von 13 Command-and-Control-Servern (C2) verwaltet. Die Mehrheit der Betroffenen befindet sich in Indien und Russland, obwohl auch in Brasilien, Mexiko und den USA eine beträchtliche Zahl von Betroffenen gemeldet wird.
Wie Bedrohungsakteure Geld von Opfern generieren
Die Malware sendet die abgefangenen SMS-Nachrichten an einen API-Endpunkt auf der Website „fastsms.su“. Diese Website bietet „virtuelle“ Telefonnummern aus verschiedenen Ländern an, die Benutzer kaufen können, um anonym zu bleiben und sich auf Online-Plattformen zu authentifizieren. Es ist sehr wahrscheinlich, dass die kompromittierten Geräte von diesem Dienst ohne das Wissen der Opfer verwendet werden. Die Malware nutzt die ihr auf Android-Geräten erteilten SMS-Zugriffsberechtigungen, um OTPs zu erfassen, die für Kontoregistrierungen und die Zwei-Faktor-Authentifizierung erforderlich sind.
Für die Opfer kann dies zu nicht autorisierten Belastungen ihrer Mobilkonten und einer möglichen Beteiligung an illegalen Aktivitäten führen, die auf ihr Gerät und ihre Telefonnummer zurückgeführt werden können. Um sich vor dem Missbrauch von Telefonnummern zu schützen, sollten Sie das Herunterladen von APK-Dateien von Quellen außerhalb von Google Play vermeiden, Apps mit nicht verwandten Funktionen keine unnötigen Berechtigungen erteilen und sicherstellen, dass Play Protect auf Ihrem Gerät aktiviert ist.
Der Angriffsablauf der SMS-Stealer-Operation
Das Opfer wird durch irreführende Werbung, die legitime App Stores imitiert, oder über automatisierte Telegram-Bots, die direkt mit dem Ziel interagieren (Details unten), zur Installation einer betrügerischen Anwendung verleitet.
Berechtigungsanfragen – Zugriff erhalten
Nach der Installation fordert die betrügerische Anwendung SMS-Leseberechtigungen an, eine hochriskante Funktion unter Android, die den Zugriff auf vertrauliche persönliche Daten ermöglicht. Während legitime Apps für bestimmte Funktionen SMS-Berechtigungen benötigen, zielt die Anforderung dieser App darauf ab, die privaten Textnachrichten des Opfers abzufangen.
Command & Control Server-Abruf – Kontaktaufnahme mit dem Master
Die Bedrohung verbindet sich dann mit ihrem Command and Control (C&C)-Server, der ihre Operationen steuert und die gesammelten Daten sammelt. Ursprünglich nutzte die Malware Firebase, um die C&C-Serveradresse zu erhalten, hat sich aber inzwischen weiterentwickelt und verwendet nun Github-Repositories oder bettet die Adresse direkt in die App ein.
C&C-Kommunikation – Daten melden und hochladen
Nachdem die Adresse des C&C-Servers gesichert wurde, stellt das infizierte Gerät eine Verbindung zu diesem Server her. Dies dient zwei Zwecken: 1) Die Malware benachrichtigt den Server über ihren aktiven Status und 2) sie erstellt einen Kanal zum Senden gestohlener SMS-Nachrichten, einschließlich wertvoller OTP-Codes.
OTP-Ernte – Der verdeckte Sammler
In der letzten Phase überwacht die Malware still und leise eingehende SMS-Nachrichten und konzentriert sich dabei auf das Abfangen von OTPs, die zur Online-Kontoüberprüfung verwendet werden, ohne dabei entdeckt zu werden.
