Se están produciendo miles de ataques utilizando bots de Telegram contra dispositivos Android en todo el mundo. El objetivo es robar mensajes SMS en Android y más concretamente aquellos que tienen códigos de autenticación como los que recibes de tu banco. Los investigadores de Zimperium descubrieron la operación y la han estado siguiendo desde febrero de 2022. Informan haber encontrado al menos 107.000 muestras distintas de malware asociadas con la campaña.
Android: ¡esta amenaza ya ataca y roba mensajes SMS!
No hace falta decir que los delincuentes están motivados por ganancias financieras y probablemente utilizan dispositivos infectados como transmisores de autenticación y anonimato.
trampa de telegramas
El ladrón de SMS se distribuye a través de publicidad maliciosa o bots de Telegram que automatizan las comunicaciones con la víctima.
En el primer caso, las víctimas acceden a páginas que imitan a Google Play y reportan recuentos de descargas inflados para agregar legitimidad y crear una falsa sensación de confianza.
En Telegram, los bots prometen entregar al usuario una aplicación pirateada para la plataforma Android, pidiéndole su número de teléfono antes de compartir el archivo APK.
El bot de Telegram utiliza este número para generar un nuevo APK, posibilitando un seguimiento personalizado o futuros ataques.
Sin embargo, Zimperium dice que la operación utiliza 2.600 bots de Telegram. Todo para promocionar varios APK de Android, controlados por 13 servidores de comando y control (C2).
La mayoría de las víctimas de esta campaña se encuentran en India y Rusia. Sin embargo, Brasil, México y Estados Unidos también tienen un número importante de víctimas.
Sin embargo, Zimperium descubrió que el malware transmite mensajes SMS capturados a un punto final API específico en el sitio web ‘fastsms.su’.
Sin embargo, el sitio permite a los visitantes comprar acceso a números de teléfono «virtuales» en países extranjeros. De esta manera pueden utilizarlos para la anonimización y la autenticación en plataformas y servicios en línea.
Sin embargo, se cree que los dispositivos infectados utilizan activamente este servicio sin que las víctimas lo sepan.
Los permisos de acceso a SMS de Android solicitados permiten que el malware capture las OTP necesarias para el registro de la cuenta y la autenticación de dos factores.
- El malware que roba SMS para la API del sitio web
- Un malware roba SMS al sitio web de Fast SMS
Para las víctimas, esto puede resultar en que se realicen cargos no autorizados a su cuenta de teléfono móvil y también pueden estar involucradas en actividades ilegales relacionadas con su dispositivo y número.
Para evitar el abuso de números de teléfono, evite descargar archivos APK desde fuera de Google Play. Además, no otorgue permisos riesgosos a aplicaciones con funciones no relacionadas y asegúrese de que Play Protect esté activo en su dispositivo.