Une campagne malveillante ciblant les appareils Android dans le monde entier utilise des milliers de robots Telegram pour infecter les appareils avec des logiciels malveillants de vol de SMS et voler des mots de passe 2FA uniques (OTP) pour plus de 600 services.
Les chercheurs de Zimperium ont découvert l’opération et la suivent depuis février 2022. Ils rapportent avoir trouvé au moins 107 000 échantillons distincts de logiciels malveillants associés à la campagne.
Les cybercriminels sont motivés par le gain financier, utilisant très probablement des appareils infectés comme relais d’authentification et d’anonymisation.
Piégeage de télégrammes
Le voleur de SMS est distribué soit par le biais de publicités malveillantes, soit par des robots Telegram qui automatisent les communications avec la victime.
Dans le premier cas, les victimes sont dirigées vers des pages imitant Google Play, signalant un nombre de téléchargements gonflé pour ajouter de la légitimité et créer un faux sentiment de confiance.
Sur Telegram, les robots promettent de donner à l’utilisateur une application piratée pour la plate-forme Android, lui demandant son numéro de téléphone avant de partager le fichier APK.
Le bot Telegram utilise ce numéro pour générer un nouvel APK, rendant possible un suivi personnalisé ou de futures attaques.
Zimperium dit que l’opération utilise 2 600 robots Telegram pour promouvoir divers APK Android, qui sont contrôlés par 13 serveurs de commande et de contrôle (C2).
La plupart des victimes de cette campagne se trouvent en Inde et en Russie, tandis que le Brésil, le Mexique et les États-Unis comptent également un nombre important de victimes.
Générer de l’argent
Zimperium a constaté que le logiciel malveillant transmet les messages SMS capturés à un point de terminaison API spécifique sur le site Web ‘fastsms.su. »
Le site permet aux visiteurs d’acheter l’accès à des numéros de téléphone « virtuels » dans des pays étrangers, qu’ils peuvent utiliser pour l’anonymisation et pour s’authentifier auprès des plateformes et services en ligne.
Il est très probable que les appareils infectés soient activement utilisés par ce service sans que les victimes le sachent.
Les autorisations d’accès SMS Android demandées permettent au logiciel malveillant de capturer les OTP requis pour les enregistrements de compte et l’authentification à deux facteurs.
Breachtrace a contacté le service Fast SMS pour se renseigner sur les conclusions de Zimperium, mais aucune réponse n’était disponible par publication.
Pour les victimes, cela peut entraîner des frais non autorisés sur leur compte mobile, alors qu’elles peuvent également être impliquées dans des activités illégales remontant à leur appareil et à leur numéro.
Pour éviter les abus de numéros de téléphone, évitez de télécharger des fichiers APK depuis l’extérieur de Google Play, n’accordez pas d’autorisations risquées aux applications avec des fonctionnalités non liées et assurez-vous que Play Protect est actif sur votre appareil.