Campanha massiva de roubo de SMS infecta dispositivos Android em 113 países

Segundo os Pesquisadores da Zimperium, há uma campanha massiva de roubo de SMS infecta dispositivos Android em 113 países.

Uma campanha maliciosa direcionada a dispositivos Android em todo o mundo utiliza milhares de bots do Telegram para infectar dispositivos com malware de roubo de SMS e roubar senhas 2FA (OTPs) únicas para mais de 600 serviços.

Campanha massiva de roubo de SMS infecta dispositivos Android em 113 países

Campanha massiva de roubo de SMS infecta dispositivos Android em 113 países
Campanha massiva de roubo de SMS infecta dispositivos Android em 113 países – Bot do Telegram entregando o SMS stealer para uma vítima (Fonte: Zimperium)

Sim. Um Campanha massiva de roubo de SMS infecta dispositivos Android em 113 países. Pesquisadores da Zimperium descobriram a operação e a monitoram desde fevereiro de 2022. Eles relatam ter encontrado pelo menos 107.000 amostras distintas de malware associadas à campanha.

Os cibercriminosos são motivados por ganhos financeiros, provavelmente usando dispositivos infectados como retransmissores de autenticação e anonimato.

O SMS stealer é distribuído por meio de malvertising ou bots do Telegram que automatizam as comunicações com a vítima.

No primeiro caso, as vítimas são levadas a páginas que imitam o Google Play, relatando contagens de download infladas para adicionar legitimidade e criar uma falsa sensação de confiança.

No Telegram, os bots prometem dar ao usuário um aplicativo pirata para a plataforma Android, pedindo seu número de telefone antes de compartilhar o arquivo APK.

O bot do Telegram usa esse número para gerar um novo APK, possibilitando rastreamento personalizado ou ataques futuros.

A Zimperium diz que a operação usa 2.600 bots do Telegram para promover vários APKs do Android, que são controlados por 13 servidores de comando e controle (C2).

A maioria das vítimas desta campanha está localizada na Índia e na Rússia, enquanto o Brasil, o México e os Estados Unidos também têm contagens significativas de vítimas.

A Zimperium descobriu que o malware transmite as mensagens SMS capturadas para um endpoint de API específico no site ‘fastsms.su’.

O site permite que os visitantes comprem acesso a números de telefone “virtuais” em países estrangeiros, que podem ser usados ​​para anonimização e autenticação em plataformas e serviços online.

Campanha massiva de roubo de SMS infecta dispositivos Android em 113 países
Campanha massiva de roubo de SMS infecta dispositivos Android em 113 países Site Fast SMS (Fonte: BleepingComputer)

É muito provável que os dispositivos infectados sejam usados ​​ativamente por esse serviço sem que as vítimas saibam.

As permissões de acesso solicitadas do Android SMS permitem que o malware capture os OTPs necessários para registros de conta e autenticação de dois fatores.

Campanha massiva de roubo de SMS infecta dispositivos Android em 113 países
Campanha massiva de roubo de SMS infecta dispositivos Android em 113 países – O malware exfiltrando SMS para o site Fast SMS (Fonte: Zimperium)

O BleepingComputer contatou o serviço Fast SMS para perguntar sobre as descobertas da Zimperium, mas uma resposta não estava disponível até a publicação.

Para as vítimas, isso pode incorrer em cobranças não autorizadas em suas contas móveis, enquanto elas também podem estar implicadas em atividades ilegais rastreadas até seu dispositivo e número.

Para evitar abuso de número de telefone, evite baixar arquivos APK de fora do Google Play, não conceda permissões arriscadas a aplicativos com funcionalidades não relacionadas e garanta que o Play Protect esteja ativo em seu dispositivo.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.