ينشر مجرمو الإنترنت أكثر من 100 ألف تطبيق Android ضار لسرقة رموز OTP
تمت ملاحظة حملة ضارة جديدة تستخدم تطبيقات Android الضارة لسرقة رسائل SMS الخاصة بالمستخدمين منذ فبراير 2022 على الأقل كجزء من حملة واسعة النطاق.
تم تصميم التطبيقات الضارة، التي تشمل أكثر من 107000 عينة فريدة، لاعتراض كلمات المرور لمرة واحدة (OTPs) المستخدمة للتحقق من الحساب عبر الإنترنت لارتكاب عمليات احتيال في الهوية.
“من بين 107.000 عينة من البرامج الضارة، هناك أكثر من 99.000 من هذه التطبيقات غير معروفة وغير متوفرة في المستودعات المتاحة بشكل عام،” شركة Zimperium لأمن الأجهزة المحمولة قال في تقرير تمت مشاركته مع The Hacker News. “كانت هذه البرامج الضارة تراقب رسائل كلمة المرور لمرة واحدة عبر أكثر من 600 علامة تجارية عالمية، حيث يصل عدد المستخدمين في بعض العلامات التجارية إلى مئات الملايين من المستخدمين.”
وتم الكشف عن ضحايا الحملة في 113 دولة، حيث تصدرت الهند وروسيا القائمة، تليها البرازيل والمكسيك والولايات المتحدة وأوكرانيا وأسبانيا وتركيا.
نقطة البداية للهجوم هي تثبيت تطبيق ضار يتم خداع الضحية فيه التثبيت على أجهزتهم إما من خلال الإعلانات الخادعة التي تحاكي قوائم تطبيقات متجر Google Play أو أي من روبوتات Telegram البالغ عددها 2600 والتي تعمل كقناة توزيع من خلال التنكر كخدمات مشروعة (على سبيل المثال، Microsoft Word).
بمجرد التثبيت، يطلب التطبيق الإذن للوصول إلى الرسائل النصية القصيرة الواردة، وبعد ذلك يتواصل مع أحد خوادم القيادة والتحكم (C2) الثلاثة عشر لإرسال رسائل SMS المسروقة.
وقال الباحثون: “تظل البرمجيات الخبيثة مخفية، وتراقب باستمرار الرسائل النصية القصيرة الواردة الجديدة”. “هدفها الأساسي هو OTPs المستخدمة للتحقق من الحساب عبر الإنترنت.”
ليس من الواضح حاليًا من يقف وراء العملية، على الرغم من ملاحظة الجهات الفاعلة في التهديد وهي تقبل طرق دفع مختلفة، بما في ذلك العملة المشفرة، لدعم خدمة تسمى Fast SMS (fastsms)[.]su) الذي يسمح للعملاء بشراء إمكانية الوصول إلى أرقام الهواتف الافتراضية.
من المحتمل أن يتم استخدام أرقام الهواتف المرتبطة بالأجهزة المصابة دون علم المالك للتسجيل في حسابات مختلفة عبر الإنترنت من خلال جمع كلمات المرور لمرة واحدة (OTPs) المطلوبة للمصادقة الثنائية (2FA).
في أوائل عام 2022، سلطت Trend Micro الضوء على خدمة مماثلة ذات دوافع مالية قامت بحصر أجهزة Android في شبكة الروبوتات التي يمكن استخدامها “لتسجيل الحسابات القابلة للتصرف بشكل مجمّع أو إنشاء حسابات تم التحقق منها عبر الهاتف لإجراء عمليات احتيال وأنشطة إجرامية أخرى”.
وقال زيمبريوم: “إن بيانات الاعتماد المسروقة هذه بمثابة نقطة انطلاق لمزيد من الأنشطة الاحتيالية، مثل إنشاء حسابات مزيفة على الخدمات الشعبية لإطلاق حملات التصيد الاحتيالي أو هجمات الهندسة الاجتماعية”.
تسلط النتائج الضوء على استمرار إساءة استخدام Telegram، وهو تطبيق مراسلة فورية شائع يضم أكثر من 950 مليون مستخدم نشط شهريًا، من قبل جهات ضارة لأغراض مختلفة تتراوح من نشر البرامج الضارة إلى C2.
في وقت سابق من هذا الشهر، كشفت شركة Positive Technologies عن عائلتين لسرقة الرسائل النصية القصيرة يطلق عليهما SMS Webpro وNotifySmsStealer وتستهدفان مستخدمي أجهزة Android في بنغلاديش والهند وإندونيسيا بهدف نقل الرسائل إلى روبوت Telegram الذي يحتفظ به ممثلو التهديد.
حددت شركة الأمن السيبراني الروسية أيضًا سلالات البرامج الضارة التي تتنكر باسم TrueCaller وICICI Bank، وهي قادرة على تسريب صور المستخدمين ومعلومات الجهاز والإشعارات عبر منصة المراسلة.
“تبدأ سلسلة العدوى بهجوم تصيد نموذجي على تطبيق واتساب”، كما تقول الباحثة الأمنية فارفارا أخابكينا قال. “مع استثناءات قليلة، يستخدم المهاجم مواقع التصيد التي تتظاهر بأنها بنك لجعل المستخدمين يقومون بتنزيل التطبيقات منها.”
برنامج ضار آخر يستخدم Telegram كخادم C2 هو TgRAT، وهو حصان طروادة للوصول عن بعد لنظام التشغيل Windows والذي تم تحديثه مؤخرًا ليشمل متغير Linux. إنه مجهز لتنزيل الملفات والتقاط لقطات الشاشة وتشغيل الأوامر عن بعد.
“يستخدم Telegram على نطاق واسع كبرنامج مراسلة للشركات في العديد من الشركات،” دكتور ويب قال. “لذلك، ليس من المستغرب أن تتمكن جهات التهديد من استخدامه كوسيلة لتوصيل البرامج الضارة وسرقة المعلومات السرية: إن شعبية البرنامج وحركة المرور الروتينية إلى خوادم Telegram تجعل من السهل إخفاء البرامج الضارة على شبكة مخترقة.”
إرسال التعليق