Kampanye jahat yang menargetkan perangkat Android di seluruh dunia memanfaatkan ribuan bot Telegram untuk menginfeksi perangkat dengan malware pencuri SMS dan mencuri kata sandi 2FA (OTP) satu kali untuk lebih dari 600 layanan.
Peneliti Zimperium menemukan operasi dan telah melacaknya sejak Februari 2022. Mereka melaporkan menemukan setidaknya 107.000 sampel malware berbeda yang terkait dengan kampanye tersebut.
Para penjahat dunia maya termotivasi oleh keuntungan finansial, kemungkinan besar menggunakan perangkat yang terinfeksi sebagai relai autentikasi dan anonimisasi.
Jebakan telegram
Pencuri SMS disebarkan melalui malvertising atau bot Telegram yang mengotomatiskan komunikasi dengan korban.
Dalam kasus pertama, korban diarahkan ke laman yang meniru Google Play, melaporkan jumlah unduhan yang meningkat untuk menambah legitimasi dan menciptakan rasa percaya yang salah.
Di Telegram, bot tersebut menjanjikan akan memberikan aplikasi bajakan kepada pengguna untuk platform Android, dan meminta nomor telepon mereka sebelum mereka membagikan file APK.
Bot Telegram menggunakan nomor itu untuk menghasilkan APK baru, sehingga memungkinkan pelacakan yang dipersonalisasi atau serangan di masa mendatang.
Sumber: Zimperium
Zimperium mengatakan operasi tersebut menggunakan 2.600 bot Telegram untuk mempromosikan berbagai APK Android, yang dikendalikan oleh 13 server perintah dan kontrol (C2).
Sebagian besar korban kampanye ini berlokasi di India dan Rusia, sementara Brasil, Meksiko, dan Amerika Serikat juga memiliki jumlah korban yang signifikan.
Menghasilkan uang
Zimperium menemukan bahwa malware tersebut mengirimkan pesan SMS yang ditangkap ke titik akhir API tertentu di situs web ‘fastsms.su.’
Situs ini memungkinkan pengunjung untuk membeli akses ke nomor telepon “virtual” di negara asing, yang dapat mereka gunakan untuk anonimisasi dan autentikasi ke platform dan layanan daring.
Sumber: BleepingComputer
Kemungkinan besar perangkat yang terinfeksi aktif digunakan oleh layanan tersebut tanpa diketahui korban.
Izin akses SMS Android yang diminta memungkinkan malware untuk menangkap OTP yang diperlukan untuk pendaftaran akun dan autentikasi dua faktor.
Sumber: Zimperium
BleepingComputer telah menghubungi layanan SMS Cepat untuk menanyakan tentang temuan Zimperium, tetapi tanggapannya belum tersedia hingga saat publikasi.
Bagi para korban, hal ini dapat menimbulkan penagihan tidak sah pada akun seluler mereka, sementara mereka juga dapat terlibat dalam aktivitas ilegal yang ditelusuri kembali ke perangkat dan nomor mereka.
Untuk menghindari penyalahgunaan nomor telepon, hindari mengunduh file APK dari luar Google Play, jangan berikan izin berisiko ke aplikasi dengan fungsi yang tidak terkait, dan pastikan Play Protect aktif di perangkat Anda.
