Компания Zimperium, которая специализируется на обеспечении кибербезопасности мобильных устройств и приложений, раскрыла масштабную вредоносную кампанию по перехвату одноразовых паролей со смартфонов на ОС Android. Жертвами стали пользователи в 113 странах мира, среди которых лидируют Индия и Россия, а также Бразилия, Мексика, США, Украина, Испания и Турция.
В последнем отчете, опубликованном в конце июля, специалисты компании Zimperium сообщили, что выявили порядка 107 тыс. различных вредоносных приложений. Злоумышленники используют данные приложения для перехвата и похищения одноразовых паролей пользователей, предназначенных для подтверждения онлайн-аккаунтов. Мошенники с легкостью проводят различные кибератаки, а также зарабатывают на сдаче зараженных устройств в аренду и используются другими киберпреступными группировками для дальнейших мошеннических целей.
Одноразовые пароли (OTP) предназначены для добавления дополнительного уровня безопасности при входе пользователей в свои аккаунты в разных сервисах и приложениях. Их активно используют компании для защиты персональных данных пользователей. Однако эти пароли столь же ценны и для злоумышленников. |
Как выглядит процесс заражения устройств и кражи паролей
— Фаза 1: Установка приложения. “Волк в овечьей шкуре”
Жертву обманным путем вынуждают установить мошенническое приложение либо с помощью вредоносной рекламы, имитирующей настоящий магазин Google Play Store, либо с помощью 2600 автоматизированных Telegram-ботов, которые напрямую общаются с жертвой.
Ниже приводим пример переписки вредоносного Telegram-бота с жертвой. Бот просит подтвердить пользователя, что он не робот, и выводит сообщение с разрешением доступа к номеру телефона. После этого бот отправляет жертве вредоносный apk-файл для установки. Жертвами становятся пользователи, которые ищут способ скачать бесплатно приложения, распространяемые платно в официальных источниках и магазинах.
— Фаза 2: Запросы на разрешение. Получение доступа
После установки вредоносное приложение запрашивает разрешение на чтение SMS-сообщений. Если настоящие приложения могут требовать разрешения исключительно для осуществления только определенный функций, то запрос вредоносных программ предназначен для извлечения личных текстовых сообщений жертвы.
— Фаза 3: C&C-сервер. «Хозяин» марионеток
Затем вредонос обращается к своему C&C-серверу (серверу управления и контроля), который выступает в качестве мозга операций, выполняя команды и собирая украденные данные. Первоначально вредоносное ПО использовало платформу Firebase (инструмент для разработки мобильных и веб-приложений от Google) для получения адреса C&C-сервера. Однако затем злоумышленники адаптировали свою тактику и теперь используют репозитории Github или даже встраивают адрес сервера непосредственно в само приложение.
— Фаза 4: Связь с C&C-центром. Регистрация и загрузка данных
Зараженное устройство устанавливает соединение, которое служит двойной цели: 1) вредоносная программа регистрирует свое присутствие на сервере, подтверждая свой рабочий статус, и 2) устанавливает канал для передачи украденных SMS-сообщений, включая необходимые OTP-коды.
— Фаза 5: Сбор OTP. Тихий перехватчик
Заключительная фаза, во время которой устройство жертвы превращается в тихий перехватчик. Вредоносная программа скрытно сидит на устройстве жертвы и отслеживает поступление входящих SMS-сообщений с одноразовыми паролями, предназначенными для входа в аккаунт.
Ранее мы уже рассказывали о том, кто такие OTP-боты и как они воруют одноразовые пароли >>>
Что еще выяснили эксперты
По их данным, злоумышленники успешно зарабатывают на своей вредоносной деятельности, используя сервис Fast SMS для покупки доступа к виртуальным номерам телефонов. Видимо, номера, связанные с зараженными устройствами, продавались без ведома их владельцев для регистрации аккаунтов.
Еще в 2022 году компания Trend Micro сообщала о том, что сервис торгует чужими номерами телефонов. Тогда специалисты обнаружили, что злоумышленники использовали Android-устройства и объединяли их в ботнет для массовой регистрации одноразовых аккаунтов или учетных записей с подтверждением по телефону для совершения дальнейших мошеннических действий.
Обнаруженная специалистами компании Zimperium вредоносная операция подчеркивает необходимость информирования пользователей о проверке источников, из которых они устанавливают мобильные приложения на свои устройства. А также напоминает об использовании передовых технологий в борьбе с фродом и кибератаками.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.