Säkerhetsföretaget Zimperium rapporter om en stor omfattande, global attack riktad mot Android-enheter som hittats i minsy 113 länder och attacken har pågått sedan februari 2022.

Zimperium rapporterar att de hittat minst 107 000 olika varianter av skadlig kod som kan kopplas till attacken där obehöriga försöker stjäla 2FA-koder, pinkoder, som skickas ut via SMS.  Engångslösenord (OTP), tvåfaktor-inloggning, tillför ett extra skyddande lager av säkerhet för konton och vissa tjänster skickar ut koderna med meddelanden/SMS.

Fem steg

Attacken genomförs i huvudsak i fem steg, enligt Zimperium:

Steg 1: Appinstallation – En ulv i fårkläder
Offret luras att sidladda en skadlig applikation antingen genom en vilseledande reklam som efterliknar en legitim appbutik eller genom att använda automatiserade Telegram-bots som kommunicerar direkt med målet.

Steg 2: Tillståndsbegäranden – Få åtkomst
Vid installationen begär det skadliga programmet läsbehörighet för SMS-meddelandet. Även om legitima applikationer kan kräva SMS-behörigheter för specifika, väldefinierade funktioner, är den här appens begäran avsedd att exfiltrera offrets privata SMS-kommunikation.

Steg 3: Kommando- och kontrollserverhämtning
Den skadliga programvaran kommunicerar med en central server dit informationen skickas.

Steg 4: C&C-kommunikation – Incheckning och uppladdning av data
Mär appen installerats och fått tillgång till SMS-meddelanden upprättar den infekterade enheten en anslutning till servern. Denna kommunikation tjänar ett dubbelt syfte; 1) Skadlig programvara registrerar sin närvaro på servern, bekräftar dess driftstatus, och 2) Etablerar en kanal för att överföra stulna SMS-meddelanden, inklusive eventuella värdefulla OTP-koder.

Steg 5: OTP Harvesting – The Silent Interceptor
Den skadliga programvara förblir dold och övervakar ständigt nya inkommande SMS-meddelanden. Dess primära mål är OTP:er som används för kontoverifiering online.

Attacken

Zimperium säger att över 2 600 Telegram-bots används i attackerna för att marknadsföra olika Android APKs, som kontrolleras av 13 kommando- och kontrollservrar (C2).

De flesta av offren för denna kampanj finns i Indien och Ryssland, medan Brasilien, Mexiko och USA det finns också ett betydande antal offer i USA.

Webbplats

Zimperium har spårat att den skadlig programvara överför de infångade SMS-meddelandena till en specifik API-slutpunkt på webbplatsen ’fastsms.su.’ Webbplatsen tillåter besökare att köpa åtkomst till ”virtuella” telefonnummer i främmande länder, som de kan använda för anonymisering och för att autentisera till onlineplattformar och tjänster.

Sidladdning

Även om detta berör Android så finns en rak, tydlig koppling till iOS – i och med att det som kallas sidladdning nu, enligt nya regler inom EU, ska vara tillåtet. Apple måste tillåta användare att ladda ned och installera appar utanför App Store sedan 2023. Det öppnar upp en helt annan exponering för risker för användare av iOS – om de väljer att installera appar utanför App Store.

Teoretiskt är det naturligtvis inte helt uteslutet att det skulle vara möjligt att få in liknande appar även i Apples App Store men det är betydligt svårare än att lägga upp appar på en hemsida som kan laddas ned av användaren direkt. Därför bör du som användare vara mycket noga, extra noga med att kontrollera appar som ska installeras utanför App Store – även om de installeras via en alternativ App Store som ser seriös ut.