米国に本拠を置くモバイル セキュリティ会社 Zimperium の研究者は、113 か国の Android デバイスに影響を与えている大規模な SMS 窃取キャンペーンを発見しました。
Zimperium が 2022 年 2 月から追跡してきたこの大規模なキャンペーンでは、悪意のある Android アプリを使用してユーザーの SMS メッセージを盗む、107,000 を超える固有のマルウェア サンプルが特定されました。
このマルウェア キャンペーンの背後にいる攻撃者は、悪意のある広告リンクと Telegram ボットを使用して、潜在的な被害者との通信を自動化しました。
マルバタイジングの場合、被害者は Google Play ストアを模倣した偽の Web ページに誘導され、ダウンロード数を水増しして表示して、誤った信頼感や安全性を植え付けます。
一方、Telegram では、ボットが正規のサービスを装い、被害者をだまして正規の APK (Android アプリケーション パッケージ) を装った独自の悪意のあるアプリケーションをダウンロードさせました。
たとえば、ボットはユーザーに海賊版の APK ファイルを提供し、そのファイルについてユーザーに電話番号の共有を要求すると約束します。これにより、攻撃者はパーソナライズされた追跡や今後の攻撃用に新しい APK を作成できるようになります。
「被害者が攻撃者にしっかりと掌握されているため、攻撃者は金銭的利益を得るためにユーザーの機密情報を盗み、販売することができるようになりました」とZimperiumは述べています。書きましたブログ投稿で。
Zimperium によると、約 2,600 の Telegram ボットからなる広大なネットワークがこのキャンペーンにリンクされており、さまざまな Android APK を宣伝していました。さらに、マルウェアは 13 台のコマンド アンド コントロール (C&C) サーバーを使用して、被害者のデバイスから SMS メッセージを盗み、漏洩しました。
「これら 107,000 個のマルウェア サンプルのうち、99,000 個以上のアプリケーションは未知であり、一般に入手可能なリポジトリでは入手できません。このマルウェアは 600 以上の世界的ブランドのワンタイム パスワード メッセージを監視しており、一部のブランドではユーザー数が数億人に達している」とモバイル セキュリティ会社は付け加えました。
このキャンペーンの犠牲者は 113 か国に及び、ロシアとインドが主な標的となり、ブラジル、メキシコ、米国、ウクライナ、スペイン、トルコが続いた。
Zimperium は調査中に、このマルウェアが感染したデバイスからドメイン「fastsms[.]su」の特定の API エンドポイントに SMS メッセージを送信していることを発見しました。 Fast SMS ('fastsms[.]su') は、ユーザーがさまざまなオンライン アプリやサービスでの匿名化と認証を目的として、外国の「仮想」電話番号へのアクセスを購入できる Web サイトです。
研究者らは、要求された Android SMS アクセス許可によりマルウェアがワンタイム パスワード (OTP) を傍受できるため、感染したデバイスにリンクされている電話番号が、被害者の知らないうちに提供されているサービスによってさまざまなオンライン アカウントに使用されていると考えています。アカウント登録と 2 要素認証 (2FA) に必要です。
被害者はモバイル アカウントに不正な料金を請求されたり、デバイスや電話番号に関わる違法行為に巻き込まれる可能性があります。
「このモバイル マルウェアの蔓延は、データ盗難 (SMS、OTP など) の容易さと相まって、個人と組織の両方に重大な脅威をもたらしています。これらの盗まれた認証情報は、人気サービス上で偽のアカウントを作成してフィッシングキャンペーンやソーシャルエンジニアリング攻撃を開始するなど、さらなる詐欺行為の踏み台となる」とZimperiumは結論付けた。
電話番号の悪用を避けるため、ユーザーは Google Play ストア以外で APK をダウンロードしないよう、無関係な機能を含むアプリの過剰な権限を拒否し、デバイスで Play プロテクトが有効になっていることを確認するよう求められています。