专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

警惕：OTP被绕过！大规模短信窃取活动感染了113个国家的Android设备

网空闲话plus · 公众号 · · 2024-07-31 07:25

正文

全球移动设备和应用安全知名企业Zimperium, Inc.于7月29日发布最新研究报告，称其发现了一个针对Android设备的大规模短信窃取活动，该活动自2022年2月以来已发现超过10.7万个恶意软件样本，针对113个国家的不同行业安卓用户开展了针对性攻击活动。该公司的安全实验室zLabs团队的研究表明，攻击者不断改进技术以绕过一次性口令（OTP）等安全措施，对企业和个人用户构成重大威胁。这些恶意软件不仅窃取短信，还能盗取敏感信息，包括OTP，为进一步的网络钓鱼和社会工程攻击提供便利。报告强调了企业需要强大的移动安全解决方案，以抵御恶意软件的侵害，并提高对潜在威胁的可见性。同时，解决这一挑战还需要多层次的方法，包括先进的检测技术、用户教育和意识提升。

Zimperium的研究人员发现了这一行动，并自 2022 年 2 月以来一直在追踪它。他们报告说，发现了至少 107,000 个与该活动相关的不同的恶意软件样本。

这项针对全球Android设备的恶意活动利用数千个 Telegram 机器人来感染设备以窃取短信的恶意软件，并窃取600多种服务的一次性2FA口令 (OTP)。

网络犯罪分子的动机是经济利益，很可能使用受感染的设备作为身份验证和匿名中继。

恶意活动规模

感染过程

感染目标设备共有一个阶段，各个步骤协同配合。

Telegram诱捕

短信窃取程序通过恶意广告或自动与受害者通信的Telegram机器人进行分发。

在第一种情况下，受害者会被引导至模仿Google Play的页面，报告夸大的下载次数以增加合法性并创造虚假的信任感。

在 Telegram上，机器人承诺向用户提供适用于 Android平台的盗版应用程序，并在用户分享APK文件之前要求用户提供电话号码。

Telegram 器人使用该号码生成新的APK，从而实现个性化跟踪或未来的攻击。

Telegram机器人向受害者发送短信窃取程序
来源：Zimperium

Zimperium表示，该行动使用2,600个Telegram机器人来推广各种Android APK，这些 APK由 13 个命令和控制 (C2) 服务器控制。

此次攻击活动的受害者主要位于印度和俄罗斯，巴西、墨西哥和美国的受害者数量也相当可观。

赚取经济回报

虽然研究者无法确定此次攻击活动背后的确切动机，但根据他我们的研究，研究者确实知道其中存在经济利益考量。研究者观测到一些平台，这些平台接受各种付款方式，包括加密货币，这是网络犯罪分子常用的一种隐藏用户身份的方法。

Zimperium发现该恶意软件将捕获的 SMS 消息传输到网站“fastsms.su”的特定API 端点。

该网站允许访问者购买外国“虚拟”电话号码，用于匿名化以及对在线平台和服务进行身份验证。

受感染的设备很可能在受害者不知情的情况下被该服务主动使用。

请求的Android SMS 问权限允许恶意软件捕获帐户注册和双因素身份验证所需的 OTP。

BleepingComputer系Fast SMS服务询问Zimperium 调查结果，但截至本文发表尚未收到回复。对于受害者来说，这可能会导致他们的移动账户产生未经授权的费用，同时他们还可能涉嫌通过其设备和号码进行非法活动。

结论及建议

Zimperium 的研究团队认为，移动恶意软件的泛滥和数据窃取的便利性，如短信和一次性口令（OTP），对个人和组织构成了重大威胁。研究团队发现了大量的恶意软件样本和多种感染媒介，表明威胁形势复杂且不断演变。恶意应用程序窃取敏感信息，包括OTP，突显了对强大企业移动安全解决方案的迫切需求。被盗凭证可能被用作进一步欺诈活动的起点，例如创建虚假账户进行网络钓鱼或社会工程攻击。

警惕：OTP被绕过！大规模短信窃取活动感染了113个国家的Android设备

正文

赚取经济回报

请到「今天看啥」查看全文