Malware móvil ladrón de SMS
Un ciberataque global dirigido a dispositivos Android emplea miles de bots de Telegram para difundir malware que roba SMS y capturar contraseñas 2FA (OTP) de un solo uso para más de 600 servicios. Los investigadores han estado monitoreando esta operación desde febrero de 2022 y han identificado al menos 107.000 muestras de malware únicas vinculadas a la campaña. Los atacantes parecen estar motivados por incentivos financieros y probablemente utilizan los dispositivos comprometidos para facilitar la autenticación y mejorar el anonimato.
Tabla de contenido
Miles de bots de Telegram difunden el malware ladrón de SMS
El malware que roba SMS se propaga a través de dos métodos principales: publicidad maliciosa y bots de Telegram que automatizan la comunicación con las víctimas.
En el primer método, las víctimas son dirigidas a páginas falsas de Google Play, que muestran números de descarga inflados para parecer legítimos y ganarse la confianza de la víctima.
En Telegram, los bots ofrecen aplicaciones pirateadas de Android y solicitan el número de teléfono de la víctima antes de proporcionar el archivo APK. El bot utiliza este número para crear un APK personalizado, lo que permite un seguimiento personalizado o ataques futuros.
La operación se basa en aproximadamente 2.600 bots de Telegram para distribuir varios APK de Android, todos administrados por 13 servidores de Comando y Control (C2). La mayoría de las personas afectadas se encuentran en India y Rusia, aunque también se reportan números significativos en Brasil, México y Estados Unidos.
Cómo los actores de amenazas generan fondos de las víctimas
El malware envía los mensajes SMS interceptados a un punto final API en el sitio web 'fastsms.su'. Este sitio ofrece números de teléfono 'virtuales' de varios países, que los usuarios pueden comprar para mantener el anonimato y autenticarse en plataformas en línea. Es muy probable que este servicio esté utilizando los dispositivos comprometidos sin el conocimiento de las víctimas. El malware aprovecha los permisos de acceso a SMS que se le otorgan en los dispositivos Android para capturar las OTP necesarias para el registro de cuentas y la autenticación de dos factores.
Para las víctimas, esto puede resultar en cargos no autorizados en sus cuentas móviles y una posible participación en actividades ilegales rastreadas hasta su dispositivo y número de teléfono. Para protegerse contra el uso indebido del número de teléfono, evite descargar archivos APK de fuentes fuera de Google Play, absténgase de otorgar permisos innecesarios a aplicaciones con funciones no relacionadas y asegúrese de que Play Protect esté habilitado en su dispositivo.
El flujo de ataque de la operación de robo de SMS
La víctima es inducida a instalar una aplicación fraudulenta mediante anuncios engañosos que imitan tiendas de aplicaciones legítimas o mediante bots automatizados de Telegram que interactúan directamente con el objetivo (detalles a continuación).
Solicitudes de permiso: obtener acceso
Una vez instalada, la aplicación fraudulenta solicita permisos de lectura de SMS, una característica de alto riesgo en Android que permite el acceso a datos personales sensibles. Si bien las aplicaciones legítimas pueden necesitar permisos de SMS para funciones específicas, la solicitud de esta aplicación está diseñada para recopilar los mensajes de texto privados de la víctima.
Recuperación del servidor de comando y control: contacto con el maestro
Luego, la amenaza se conecta a su servidor de Comando y Control (C&C), que dirige sus operaciones y recopila los datos recopilados. Inicialmente, el malware usaba Firebase para obtener la dirección del servidor C&C, pero desde entonces evolucionó para usar repositorios de Github o incrustar la dirección directamente dentro de la aplicación.
Comunicación C&C: generación de informes y carga de datos
Después de asegurar la dirección del servidor C&C, el dispositivo infectado establece una conexión con él. Esto tiene dos propósitos: 1) el malware notifica al servidor su estado activo y 2) crea un canal para enviar mensajes SMS robados, incluidos valiosos códigos OTP.
Cosecha de OTP: el coleccionista encubierto
En la fase final, el malware monitorea silenciosamente los mensajes SMS entrantes, enfocándose en interceptar las OTP utilizadas para la verificación de cuentas en línea sin ser detectado.
