Od februara 2022. godine, visokonapredna kampanja zlonamjernog softvera za Android posebno je dizajnirana za napad na jednokratne lozinke (OTP), koje se koriste za kršenje sigurnosti preduzeća.
Dok su pratili više od 107.000 uzoraka zlonamjernog softvera, zLabs istraživači su primijetili kako su napadači promijenili svoju taktiku kako bi zaobišli sigurnosne mjere i dobili pristup povjerljivim korporativnim informacijama.
Ova dugotrajna operacija koristi široku upotrebu OTP-ova za zaštitu naloga, naglašavajući kontinuiranu borbu između cyber odbrambenih sistema i sve sofisticiranijih mobilnih prijetnji.
Istraživači cyber sigurnosti u Zimperiumu su nedavno identifikovali novi krađi SMS koji inficira milione Android korisnika u 113 zemalja.
Android SMS Stealer
Koristeći razne metode, ovaj veoma napredan Android malver napad je bio u stanju da probije bilo koji uređaj. Oni šire zlonamjerni softver za krađu SMS poruka putem obmanjujućih oglasa i telegram botova koji su djelovali kao legitimne usluge.
Njegove žrtve su natjerane da učitavaju zlonamjerne APK-ove posebno dizajnirane za njih koristeći svoje telefonske brojeve. Virus je tada mogao pristupiti SMS-u, što bi omogućilo uklanjanje OTP-a.
Tok napada (Izvor – Zimperium)
U početku je infrastruktura kampanje uključivala Firebase kao svoj C&C server, koji je kasnije prešao na GitHub spremišta koja sadrže zamagljene C&C URL-ove i zlonamjerne APK-ove. Laravel framework se široko koristio za većinu C&C servera.
Telegram botovi koji pružaju APK-ove (izvor – Zimperium)
Kada se uspješno instalira, ovaj zlonamjerni softver će ukrasti lične podatke žrtve, uključujući SMS poruke i informacije o uređaju, i poslati ih na servere kojima upravljaju hakeri. Ovo je potencijalno opasno i za ličnu sigurnost i za korporativnu sigurnost.
Ova globalna operacija zlonamjernog softvera za Android dostigla je razmjere bez presedana, sa 113 pogođenih zemalja, a glavne mete su Rusija i Indija.
Ciljane zemlje (izvor – Zimperium)
Istraživači su otkrili preko 107.000 različitih uzoraka zlonamjernog softvera, od kojih je 95% bilo nepoznato redovnim spremištima, što ukazuje na napredne mogućnosti izbjegavanja.
Operacija je pratila jednokratne lozinke (OTP) u više od šest stotina globalnih brendova, potencijalno utječući na stotine miliona korisnika.
Infrastruktura se sastojala od 13 komandnih i kontrolnih (C&C) servera i oko dvadeset i šest stotina Telegram botova koji se koriste za širenje zlonamjernog softvera.
Povezana web stranica, fastsms[.]su je otkrila finansijski motiv kampanje, koja prodaje ukradene telefonske brojeve i uhvaćene OTP-ove po cijeni na osnovu lokacije i mrežnog operatera.
Zlonamjerni softver je posebno dizajniran da cilja e-poštu od jednog velikog provajdera e-pošte i uredskog paketa baziranog na oblaku , što sugerira da se fokusira na poslovne račune visoke vrijednosti.
Veličina i složenost ove kampanje ilustruju kako se mijenja okruženje prijetnji u mobilnoj sigurnosti.
Razvoj pretnji za zlonamjerni softver na mobilnim uređajima predstavlja značajan rizik za pojedince i organizacije. Krađa SMS-a i OTP-a mogla bi dovesti do širih aktivnosti prevare.
Ovo zahtijeva korištenje višeslojnih sigurnosnih pristupa koji obuhvataju strategije kao što su obuka korisnika i napredne tehnologije otkrivanja za zaštitu od nepoznatog zlonamjernog softvera.
Izvor:CybersecurityNews