Sinds februari 2022 is er een nieuwe kwaadaardige campagne waargenomen die gebruikmaakt van schadelijke Android-apps om sms-berichten van gebruikers te stelen als onderdeel van een grootschalige campagne.
De schadelijke apps, die meer dan 107.000 unieke exemplaren omvatten, zijn ontworpen om eenmalige wachtwoorden (OTP’s) te onderscheppen die worden gebruikt voor online accountverificatie om identiteitsfraude te plegen.
“Van die 107.000 malware-samples zijn/waren meer dan 99.000 van deze applicaties onbekend en niet beschikbaar in algemeen beschikbare repositories,” zei het mobiele beveiligingsbedrijf Zimperium in een rapport dat werd gedeeld met The Hacker News. “Deze malware hield toezicht op eenmalige wachtwoordberichten van meer dan 600 wereldwijde merken, waarbij sommige merken gebruikersaantallen hadden van honderden miljoenen gebruikers.”
Slachtoffers van de campagne zijn aangetroffen in 113 landen, waarbij India en Rusland bovenaan de lijst staan, gevolgd door Brazilië, Mexico, de VS, Oekraïne, Spanje en Turkije.
Het startpunt van de aanval is de installatie van een schadelijke app. Het slachtoffer wordt misleid om de app op zijn of haar apparaat te installeren via misleidende advertenties die lijken op app-vermeldingen in de Google Play Store of via een van de 2.600 Telegram-bots die als distributiekanaal dienen door zich voor te doen als legitieme services (bijvoorbeeld Microsoft Word).
Nadat de app is geïnstalleerd, vraagt deze toestemming om toegang te krijgen tot binnenkomende sms-berichten. Vervolgens maakt de app verbinding met een van de 13 command-and-control (C2)-servers om gestolen sms-berichten te verzenden.
“De malware blijft verborgen en houdt voortdurend nieuwe binnenkomende sms-berichten in de gaten”, aldus de onderzoekers. “Het primaire doelwit zijn OTP’s die worden gebruikt voor online accountverificatie.”
Het is nog niet duidelijk wie er achter de operatie zit. Er zijn echter wel criminelen waargenomen die verschillende betaalmethoden accepteren, waaronder cryptovaluta, om een dienst genaamd Fast SMS (fastsms(.)su) te financieren. Hiermee kunnen klanten toegang tot virtuele telefoonnummers kopen.
Het is waarschijnlijk dat de telefoonnummers die aan de geïnfecteerde apparaten zijn gekoppeld, zonder medeweten van de eigenaar worden gebruikt om zich te registreren voor verschillende online accounts. Dit gebeurt door de eenmalige wachtwoorden te verzamelen die nodig zijn voor tweefactorauthenticatie (2FA).
Begin 2022 bracht Trend Micro een vergelijkbare financieel gemotiveerde dienst aan het licht die Android-apparaten in een botnet samenvoegde dat kon worden gebruikt om ‘in bulk wegwerpaccounts te registreren of telefoongeverifieerde accounts te creëren voor fraude en andere criminele activiteiten’.
“Deze gestolen inloggegevens dienen als springplank voor verdere frauduleuze activiteiten, zoals het aanmaken van nepaccounts op populaire diensten om phishingcampagnes of social engineering-aanvallen te starten”, aldus Zimperium.
De bevindingen benadrukken het voortdurende misbruik van Telegram, een populaire app voor instant messaging met meer dan 950 miljoen maandelijks actieve gebruikers, door kwaadwillende actoren voor verschillende doeleinden, variërend van de verspreiding van malware tot C2.
Eerder deze maand maakte Positive Technologies twee families van sms-stealers bekend, genaamd SMS Webpro en NotifySmsStealer. Deze richten zich op Android-gebruikers in Bangladesh, India en Indonesië met als doel berichten te stelen naar een Telegram-bot die wordt beheerd door de kwaadwillende actoren.
Het Russische cybersecuritybedrijf heeft ook stealer-malware geïdentificeerd die zich voordoet als TrueCaller en ICICI Bank en die in staat is om foto’s, apparaatgegevens en meldingen van gebruikers te stelen via het berichtenplatform.
“De infectieketen begint met een typische phishingaanval op WhatsApp”, aldus beveiligingsonderzoeker Varvara Akhapkina. “Op een paar uitzonderingen na gebruikt de aanvaller phishingsites die zich voordoen als een bank om gebruikers apps van hen te laten downloaden.”
Een andere malware die Telegram als C2-server gebruikt, is TgRAT, een Windows remote access trojan die onlangs is bijgewerkt met een Linux-variant. Het is uitgerust om bestanden te downloaden, screenshots te maken en opdrachten op afstand uit te voeren.
“Telegram wordt veel gebruikt als een corporate messenger in veel bedrijven,” zei Doctor Web. “Daarom is het niet verrassend dat dreigingsactoren het kunnen gebruiken als een vector om malware te verspreiden en vertrouwelijke informatie te stelen: de populariteit van het programma en het routinematige verkeer naar de servers van Telegram maken het gemakkelijk om malware te verbergen op een gecompromitteerd netwerk.”
