Há milhares de ataques a decorrer através de bots do Telegram contra dispositivos Android em todo o mundo. O objetivo é roubar mensagens SMS no Android e mais concretamente aquelas que têm códigos de autenticação como os que recebe do seu banco. Os investigadores da Zimperium descobriram a operação e têm estado a segui-la desde fevereiro de 2022. Eles relatam ter encontrado pelo menos 107 mil amostras de malware distintas associadas à campanha.
Android: esta ameaça já ataca e está a roubar mensagens SMS!
Escusado será dizer que os criminosos são motivados por ganhos financeiros, provavelmente usando dispositivos infectados como relés de autenticação e anonimato.
Armadilha no Telegram
O SMS stealer é distribuído através de malvertising ou de bots do Telegram que automatizam as comunicações com a vítima.
No primeiro caso, as vítimas chegam a páginas que imitam o Google Play e que relatam contagens de descarregamentos inflacionadas para adicionar legitimidade e criar uma falsa sensação de confiança.
No Telegram, os bots prometem dar ao utilizador uma aplicação pirata para a plataforma Android, pedindo o seu número de telefone antes de partilharem o ficheiro APK.
O bot do Telegram usa esse número para gerar um novo APK, tornando possível o rastreamento personalizado ou futuros ataques.
Entretanto a Zimperium diz que a operação utiliza 2.600 bots do Telegram. Tudo para promover vários APKs Android, controlados por 13 servidores de comando e controlo (C2).
A maioria das vítimas desta campanha está localizada na Índia e na Rússia. No entanto o Brasil, o México e os Estados Unidos também têm um número significativo de vítimas.
Entretanto a Zimperium descobriu que o malware transmite as mensagens SMS capturadas para um endpoint API específico no site ‘fastsms.su’.
Entretanto o site permite que os visitantes comprem acesso a números de telefone “virtuais” em países estrangeiros. Assim podem utilizá-los para anonimização e autenticação em plataformas e serviços online.
Entretanto pensa-se que os dispositivos infectados se utilizam ativamente por esse serviço sem que as vítimas o saibam.
As permissões de acesso ao Android SMS solicitadas permitem que o malware capture as OTPs necessárias para o registo de contas e autenticação de dois factores.
- O malware que rouba SMS para a API do site
- O malware rouba as SMS para o site Fast SMS
Para as vítimas, isto pode implicar cobranças não autorizadas na sua conta de telemóvel, podendo também estar envolvidas em actividades ilegais relacionadas com o seu dispositivo e número.
Para evitar o abuso do número de telefone, evite descarregar ficheiros APK de fora do Google Play. Também não conceda permissões arriscadas a aplicações com funcionalidades não relacionadas e certifique-se de que o Play Protect está ativo no seu dispositivo.
