Logiciel malveillant mobile voleur de SMS
Une cyberattaque mondiale visant les appareils Android emploie des milliers de robots Telegram pour propager des logiciels malveillants voleurs de SMS et capturer des mots de passe 2FA (OTP) à usage unique pour plus de 600 services. Les chercheurs surveillent cette opération depuis février 2022 et ont identifié au moins 107 000 échantillons de logiciels malveillants uniques liés à la campagne. Les attaquants semblent motivés par des incitations financières, utilisant probablement les appareils compromis pour faciliter l'authentification et améliorer l'anonymat.
Table des matières
Des milliers de robots Telegram propagent le logiciel malveillant SMS Stealer
Le malware voleur de SMS se propage via deux méthodes principales : la publicité malveillante et les robots Telegram qui automatisent la communication avec les victimes.
Dans la première méthode, les victimes sont dirigées vers de fausses pages Google Play, qui affichent des numéros de téléchargement gonflés pour paraître légitimes et gagner la confiance de la victime.
Sur Telegram, les robots proposent des applications Android piratées et demandent le numéro de téléphone de la victime avant de fournir le fichier APK. Ce numéro est utilisé par le bot pour créer un APK personnalisé, permettant un suivi personnalisé ou de futures attaques.
L'opération s'appuie sur environ 2 600 robots Telegram pour distribuer différents APK Android, tous gérés par 13 serveurs Command-and-Control (C2). La majorité des personnes touchées se trouvent en Inde et en Russie, bien qu'un nombre important soit également signalé au Brésil, au Mexique et aux États-Unis.
Comment les acteurs menaçants génèrent des fonds auprès des victimes
Le malware envoie les messages SMS interceptés à un point de terminaison API sur le site Web « fastsms.su ». Ce site propose des numéros de téléphone « virtuels » de différents pays, que les utilisateurs peuvent acheter pour préserver leur anonymat et s'authentifier sur des plateformes en ligne. Il est fort probable que les appareils compromis soient utilisés par ce service à l'insu des victimes. Le malware exploite les autorisations d'accès SMS qui lui sont accordées sur les appareils Android pour capturer les OTP nécessaires à l'enregistrement des comptes et à l'authentification à deux facteurs.
Pour les victimes, cela peut entraîner des débits non autorisés sur leurs comptes mobiles et une implication potentielle dans des activités illégales remontant à leur appareil et à leur numéro de téléphone. Pour vous protéger contre l'utilisation abusive de votre numéro de téléphone, évitez de télécharger des fichiers APK à partir de sources extérieures à Google Play, évitez d'accorder des autorisations inutiles à des applications ayant des fonctions sans rapport et assurez-vous que Play Protect est activé sur votre appareil.
Le flux d’attaque de l’opération SMS Stealer
La victime est incitée à installer une application frauduleuse via des publicités trompeuses qui imitent les magasins d'applications légitimes ou via des robots Telegram automatisés qui interagissent directement avec la cible (détails ci-dessous).
Demandes d'autorisation - Obtenir l'accès
Une fois installée, l'application frauduleuse demande des autorisations de lecture de SMS, une fonctionnalité à haut risque sur Android qui permet d'accéder à des données personnelles sensibles. Même si les applications légitimes peuvent avoir besoin d'autorisations SMS pour des fonctions spécifiques, la demande de cette application est conçue pour récolter les messages texte privés de la victime.
Récupération du serveur de commande et de contrôle – Contacter le maître
La menace se connecte ensuite à son serveur de commande et de contrôle (C&C), qui dirige ses opérations et rassemble les données collectées. Initialement, le malware utilisait Firebase pour obtenir l'adresse du serveur C&C, mais a depuis évolué pour utiliser les référentiels Github ou intégrer l'adresse directement dans l'application.
C&C Communication – Rapports et téléchargement de données
Après avoir sécurisé l'adresse du serveur C&C, l'appareil infecté établit une connexion avec celui-ci. Cela répond à deux objectifs : 1) le malware informe le serveur de son statut actif et 2) il crée un canal pour envoyer des messages SMS volés, y compris de précieux codes OTP.
OTP Harvesting – Le collectionneur secret
Dans la phase finale, le malware surveille silencieusement les messages SMS entrants, en se concentrant sur l'interception des OTP utilisés pour la vérification des comptes en ligne tout en restant non détecté.
