Un nuevo malware con más de 107.000 muestras que ha sido apuntando a dispositivos Android Durante más de dos años, ha estado robando mensajes SMS para adquirir contraseñas de un solo uso (OTP) y otros datos confidenciales de los usuarios para futuras actividades maliciosas.
El malware, acertadamente denominado “SMS Stealer” y que se basa en una importante infraestructura cibercriminal, se propaga a través de aplicaciones móviles que evolucionan dinámicamente y se distribuyen a través de mensajes de Telegram o anuncios de aplicaciones legítimas, según descubrieron investigadores del proveedor de seguridad móvil Zimperium, zLabs.
Desde febrero de 2022, los investigadores han estado localizar al ladrónque hasta ahora ha sido subido por víctimas en 113 países, con India y Rusia encabeza la lista, los investigadores de Zimperium Aazim Bill SE Yaswant, Rajat Goyal, Vishnu Pratapagiri y Gianluca Braga a descrito en una publicación de blog publicado el 30 de julio. La campaña parece, en parte, estar motivada financieramente por atacantes bien organizados que tienen al menos 13 servidores de comando y control (C2) y 2.600 bots de Telegram.
Esta campaña en constante evolución la hace particularmente peligrosa, porque el puede escapar “métodos tradicionales de detección basados en firmas”, lo que dificulta que los defensores los descubran “sin un sofisticado motor de detección de malware en el dispositivo capaz de detectar malware de día cero”, dice Nico Chiaraviglio, científico investigador líder de Zimperium.
“[The malware’s] « La capacité à être générée de manière dynamique et à distribuer des applications malveillantes uniques via de multiples vecteurs de menace à des utilisateurs d’appareils spécifiques suggère un niveau élevé de sophistication et d’adaptabilité de la part des acteurs de la menace », dit -Él.
De hecho, más de 99.000 de las muestras de malware analizadas por los investigadores eran desconocidas y no estaban disponibles en repositorios generalmente disponibles, lo que demuestra que la campaña permaneció en gran medida sin documentar por los defensores durante casi dos años y medio. Además, los atacantes tienen como objetivo más de 60 marcas globales líderes en términos de mensajes OTP interceptados por el malware, y algunas marcas tienen cientos de millones de usuarios.
Campaña multifase
Los investigadores descubrieron que el proceso desde el encuentro de malware hasta la infección y el robo de SMS y otros datos se lleva a cabo en varias etapas y probablemente tenga como objetivo llevar a cabo más actividades maliciosas con los datos robados.
“Estas credenciales robadas sirven como trampolín para otras actividades fraudulentas, como la creación de cuentas falsas en servicios populares para lanzar campañas de phishing o ataques de ingeniería social”, escribieron los investigadores en la publicación.
Comienza la campaña cuando un usuario de Android Se engaña a la aplicación maliciosa para que descargue una aplicación maliciosa, ya sea mediante un anuncio engañoso que imita una tienda de aplicaciones legítima o mediante el uso de bots automatizados de Telegram que se comunican directamente con el objetivo y utilizan la ingeniería social para alentarlo a involucrarse. Tras la instalación, la aplicación maliciosa solicita permiso para leer mensajes SMS, “un permiso de alto riesgo en Android que otorga amplio acceso a datos personales confidenciales”, según el mensaje.
“Si bien las aplicaciones legítimas pueden requerir permisos de SMS para funciones específicas y bien definidas, la solicitud de esta aplicación en particular probablemente no esté autorizada y tenga como objetivo exfiltrar las comunicaciones SMS privadas de la víctima”, escribieron los investigadores.
Una vez que se obtienen los permisos, el malware busca una dirección para un servidor C2 y luego establece una conexión para transmitir comandos a ejecutar, así como mensajes SMS robados. En la quinta y última fase, los atacantes convierten el dispositivo de la víctima en un “interceptor silencioso” en el que el malware permanece oculto y monitorea constantemente los mensajes SMS entrantes, buscando principalmente OTP valiosas para la verificación de cuentas en línea.
“Necesidad urgente” de una mejor defensa móvil
Si bien el robo de SMS para obtener ganancias financieras no es de ninguna manera una amenaza nueva, el enfoque dinámico y persistente de los atacantes en esta campaña demuestra “un método de ataque refinado y eficaz” que exige una respuesta inmediata, señala Chiaravigli.
De hecho, la creciente proliferación de malware móvil, especialmente aplicaciones ubicuas y sigilosas que pueden robar OTP valiosas, representa una amenaza significativa tanto para individuos como para empresas, dicen los expertos. No sólo invaden la privacidad de los usuarios, sino que los datos confidenciales a los que acceden pueden servir como trampolín para una variedad de actividades maliciosas como el robo de credenciales, el fraude financiero y Secuestro de datos.
“Hemos visto SMS redireccionando malware en el pasado. Sin embargo, la capacidad de SMS Stealer para interceptar OTP, facilitar el robo de credenciales y permitir una mayor infiltración de malware presenta serios riesgos”, señala Jason Soroko, vicepresidente senior de productos de Sectigo, un proveedor de gestión del ciclo de vida de certificados.
Esto resalta la “necesidad urgente” de que las organizaciones adopten estrategias de seguridad móvil fortalecidas que incluyan un enfoque en la gestión de permisos de aplicaciones y el monitoreo continuo de amenazas “para proteger las identidades digitales y la integridad de la red”, dijo.
Las nuevas estrategias de defensa deben tener múltiples capas e incluir una combinación de análisis de comportamiento avanzado, aprendizaje automático e inteligencia de amenazas en tiempo real, añade Stephen Kowski, director técnico de campo de SlashNext Email Security+, y afirma: “Soluciones Defensas sólidas contra amenazas móviles, defensa proactiva Las estrategias y las actualizaciones de seguridad continuas desempeñan un papel vital en la identificación y neutralización del malware oculto. »