长亭百川云 - 文章详情

大规模短信窃取,全球113个国家的Android设备遭入侵

关键基础设施安全应急响应中心

46

2024-08-08

7月29日,安全企业Zimperium研究人员发布报告,他们发现一起针对全球Android设备的恶意活动,涉及113个国家的不同行业安卓用户。

研究者称自2022年2月以来,发现事件超过10.7万个恶意软件样本。

01、Telegram诱捕

攻击者利用数千个Telegram机器人,这些机器人感染并植入了能够窃取短信的恶意软件,目的是窃取一次性双因素认证密码OTP,成功绕过这一安全措施。

短信窃取者通过恶意广告和Telegram机器人分发两种方式传播短信窃取器。

1、通过恶意广告:这种方式中,受害者被引导到模仿Google Play的页面。这些页面显示夸大的下载量,以增加其合法性并制造一种虚假的信任感。这是一种常见的网络诈骗手段,目的是让用户相信这些页面是可信的,从而下载恶意软件。

2、通过Telegram机器人:在这种方式中,Telegram机器人向用户提供Android平台的盗版应用程序。在用户下载APK文件之前,机器人会要求用户提供他们的电话号码。然后,Telegram机器人使用这个电话号码生成一个新的APK文件,这使得对特定用户进行个性化跟踪或未来攻击成为可能。

Telegram bot将SMS窃取工具发送给受害者

来源:Zimperium

Zimperium表示,该行动使用2600个Telegram机器人来推广各种Android APK,这些机器人由13个命令和控制(C2)服务器控制。 

此次行动的大多数受害者位于印度和俄罗斯,巴西、墨西哥和美国也有大量的受害者。

02、谋取经济利益

媒体称,网络犯罪分子的动机主要是经济利益,他们很可能利用被感染的设备来实现身份验证和匿名化中继。

Zimperium发现,该恶意软件将捕获的短信传输到网站fastsms.su上的特定API端点。

该网站允许访问者购买外国“虚拟”电话号码的访问权,他们可以使用这些号码进行匿名化,并对在线平台和服务进行身份验证。

原文来源:E安全

“投稿联系方式:010-82992251   sunzhonghao@cert.org.cn

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2