Một chiến dịch độc hại nhắm vào các thiết bị Android trên toàn thế giới sử dụng hàng nghìn bot Telegram để lây nhiễm phần mềm độc hại đánh cắp tin nhắn SMS vào các thiết bị nhằm đánh cắp các mã xác thực một lần (OTP) cho hơn 600 dịch vụ.
Các nhà nghiên cứu tại Zimperium đã phát hiện ra hoạt động này và theo dõi nó kể từ tháng 2 năm 2022, cho biết có ít nhất 107.000 mẫu phần mềm độc hại khác nhau có liên quan đến chiến dịch này.
Bẫy Telegram
Phần mềm đánh cắp tin nhắn SMS được phát tán thông qua phần mềm quảng cáo độc hại hoặc bot Telegram tự động liên lạc với nạn nhân.
Trong trường hợp đầu tiên, nạn nhân được chuyển đến các trang giả mạo Google Play, hiển thị số lượt tải xuống được phóng đại để làm cho nó trông có vẻ đáng tin cậy.
Trên Telegram, các bot hứa hẹn sẽ cung cấp cho người dùng một ứng dụng lậu dành cho nền tảng Android, yêu cầu họ cung cấp số điện thoại trước khi chia sẻ tệp APK.
Bot Telegram sử dụng số đó để tạo APK mới để thuận tiện cho việc theo dõi mục tiêu hoặc thực hiện các cuộc tấn công trong tương lai.
Bot Telegram phát tán mã độc đánh cắp SMS đến nạn nhân (Nguồn: Zimperium)
Zimperium cho biết hoạt động này sử dụng 2.600 bot Telegram để quảng bá nhiều APK Android khác nhau, được điều khiển bởi 13 máy chủ C2.
Hầu hết nạn nhân của chiến dịch này đều ở Ấn Độ và Nga, bên cạnh đó, Brazil, Mexico và Hoa Kỳ cũng có số lượng nạn nhân đáng kể.
Zimperium phát hiện ra rằng phần mềm độc hại chuyển các tin nhắn SMS đã thu thập đến một API của trang 'fastsms.su.' Trang web này cho phép người dùng mua quyền truy cập vào số điện thoại "ảo" ở nước ngoài, họ có thể sử dụng số điện thoại này để ẩn danh và xác thực với các nền tảng và dịch vụ trực tuyến.
Rất có thể các thiết bị bị nhiễm đang bị dịch vụ đó lạm dụng mà nạn nhân không hề hay biết.
Quyền truy cập SMS trên Android được yêu cầu cho phép phần mềm độc hại lấy được mã OTP cần thiết để đăng ký tài khoản và xác thực hai yếu tố.
BleepingComputer đã liên hệ với dịch vụ Fast SMS để tìm hiểu thêm thông tin về những phát hiện của Zimperium nhưng chưa nhận được phản hồi.
Đối với nạn nhân, điều này có thể khiến tài khoản di động của họ bị tính phí trái phép, đồng thời họ cũng có thể bị liên lụy vào các hoạt động bất hợp pháp liên quan đến thiết bị và số điện thoại của họ.
Để tránh việc bị lạm dụng số điện thoại, hãy tránh tải xuống tệp APK từ các nguồn bên ngoài Google Play, không cấp các quyền rủi ro cho các ứng dụng có chức năng không liên quan và đảm bảo Play Protect đang hoạt động trên thiết bị của bạn.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Các tác nhân đe dọa đang khai thác lỗi cấu hình trong Selenium Grid, một framework thử nghiệm ứng dụng web phổ biến, để triển khai công cụ XMRig đã sửa đổi nhằm khai thác tiền điện tử Monero.
Tín nhiệm mạng | Một vấn đề bảo mật trong phiên bản mới nhất của WhatsApp dành cho Windows cho phép gửi các tệp đính kèm Python và PHP, các tệp này sẽ được thực thi mà không có bất kỳ cảnh báo nào khi người nhận mở chúng.
Tín nhiệm mạng | Progress Software đang kêu gọi người dùng cập nhật phiên bản Telerik Report Server của họ sau khi phát hiện ra lỗ hổng bảo mật nghiêm trọng có thể dẫn đến thực thi mã từ xa.
Tín nhiệm mạng | Các tác nhân đe dọa được gọi là 'Stargazer Goblin' đã tạo ra một dịch vụ phân phối mã độc từ hơn 3.000 tài khoản giả mạo trên GitHub để phát tán phần mềm độc hại đánh cắp thông tin.
Tín nhiệm mạng | Docker đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng nghiêm trọng ảnh hưởng đến một số phiên bản Docker Engine, có thể cho phép kẻ tấn công vượt qua kiểm tra xác thực của plugin AuthZ trong một số trường hợp nhất định.
Tín nhiệm mạng | Lỗ hổng bảo mật zero-day của Telegram dành cho Android có tên 'EvilVideo' cho phép kẻ tấn công gửi các tệp APK Android độc hại dưới dạng tệp video.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
