Android: esta ameaça já ataca e está a roubar mensagens SMS!

Há milhares de ataques a decorrer através de bots do Telegram contra dispositivos Android em todo o mundo. O objetivo é roubar mensagens SMS no Android e mais concretamente aquelas que têm códigos de autenticação como os que recebe do seu banco. Os investigadores da Zimperium descobriram a operação e têm estado a segui-la desde fevereiro de 2022. Eles relatam ter encontrado pelo menos 107 mil amostras de malware distintas associadas à campanha.

Android: esta ameaça já ataca e está a roubar mensagens SMS!

Escusado será dizer que os criminosos são motivados por ganhos financeiros, provavelmente usando dispositivos infectados como relés de autenticação e anonimato.

Armadilha no Telegram

O SMS stealer é distribuído através de malvertising ou de bots do Telegram que automatizam as comunicações com a vítima.

No primeiro caso, as vítimas chegam a páginas que imitam o Google Play e que relatam contagens de descarregamentos inflacionadas para adicionar legitimidade e criar uma falsa sensação de confiança.

No Telegram, os bots prometem dar ao utilizador uma aplicação pirata para a plataforma Android, pedindo o seu número de telefone antes de partilharem o ficheiro APK.

O bot do Telegram usa esse número para gerar um novo APK, tornando possível o rastreamento personalizado ou futuros ataques.

Entretanto a Zimperium diz que a operação utiliza 2.600 bots do Telegram. Tudo para promover vários APKs Android, controlados por 13 servidores de comando e controlo (C2).

A maioria das vítimas desta campanha está localizada na Índia e na Rússia. No entanto o Brasil, o México e os Estados Unidos também têm um número significativo de vítimas.

Entretanto a Zimperium descobriu que o malware transmite as mensagens SMS capturadas para um endpoint API específico no site ‘fastsms.su’.

Entretanto o site permite que os visitantes comprem acesso a números de telefone “virtuais” em países estrangeiros. Assim podem utilizá-los para anonimização e autenticação em plataformas e serviços online.

Entretanto pensa-se que os dispositivos infectados se utilizam ativamente por esse serviço sem que as vítimas o saibam.

As permissões de acesso ao Android SMS solicitadas permitem que o malware capture as OTPs necessárias para o registo de contas e autenticação de dois factores.

  • O malware que rouba SMS para a API do site
  • O malware rouba as SMS para o site Fast SMS

Para as vítimas, isto pode implicar cobranças não autorizadas na sua conta de telemóvel, podendo também estar envolvidas em actividades ilegais relacionadas com o seu dispositivo e número.

Para evitar o abuso do número de telefone, evite descarregar ficheiros APK de fora do Google Play. Também não conceda permissões arriscadas a aplicações com funcionalidades não relacionadas e certifique-se de que o Play Protect está ativo no seu dispositivo.

Siga a Leak no Google Notícias e no MSN Portugal.

Receba as notícias Leak no seu e-mail. Carregue aqui para se registar. É grátis!

Bruno Fonseca
Bruno Fonseca
Fundador da Leak, estreou-se no online em 1999 quando criou a CDRW.co.pt. Deu os primeiros passos no mundo da tecnologia com o Spectrum 48K e nunca mais largou os computadores. É viciado em telemóveis, tablets e gadgets.

Leia também