-
09/04/2020
-
93
-
613 bài viết
Chiến dịch đánh cắp OTP qua SMS quy mô lớn trên Android nhắm tới hơn 100k ứng dụng
Zimperium zLabs là nhóm nghiên cứu và phát triển bảo mật di động thuộc công ty chuyên cung cấp các giải pháp bảo mật cho thiết bị di động. Gần đây họ đã tiết lộ chiến dịch phần mềm độc hại Android quy mô lớn đã lây nhiễm hơn 107,000 thiết bị trên 113 quốc gia kể từ tháng 2 năm 2022. Phần mềm độc hại này nhắm vào các mật khẩu một lần (OTP) từ hơn 600 thương hiệu hàng đầu, đe dọa hàng triệu tài khoản người dùng.
Chiến dịch sử dụng quảng cáo lừa đảo và bot Telegram để tấn công người dùng. Khi cài đặt, phần mềm yêu cầu quyền đọc SMS, chặn và gửi OTP đến máy chủ điều khiển và kiểm soát (C&C). Các OTP bị đánh cắp sau đó được bán trên thị trường tội phạm mạng, giúp kẻ tấn công vượt qua xác thực hai yếu tố.
(Ảnh minh họa: Zimperium zLabs)
Những kẻ tấn công đã chuyển từ Firebase sang GitHub và nhúng địa chỉ C&C trực tiếp vào ứng dụng. Nghiên cứu của Zimperium phát hiện động cơ tài chính rõ ràng, liên kết một mẫu phần mềm với trang web bán số điện thoại và OTP bị đánh cắp.
Quy mô của chiến dịch thật đáng kinh ngạc:
Hơn 107,000 ứng dụng độc hại: Chiến dịch quy mô lớn nhắm vào nhiều nạn nhân toàn cầu.
Hơn 95% mẫu phần mềm không được biết đến: Hơn 99,000 mẫu không có trong kho lưu trữ thông thường.
60+ thương hiệu toàn cầu bị nhắm tới: Giám sát OTP từ hơn 600 thương hiệu.
113 quốc gia bị ảnh hưởng: Nga và Ấn Độ là mục tiêu chính.
13 máy chủ C&C: Được sử dụng để đánh cắp và rò rỉ SMS.
2,600 bot Telegram: Liên kết với chiến dịch.
Phần lớn mẫu phần mềm độc hại đã qua mặt phần mềm diệt virus và lẻn vào hệ thống mạng của người dùng. Các nhà nghiên cứu đã xác định được 13 máy chủ C&C và một mạng lưới bot Telegram rộng lớn tham gia vào việc phân phối phần mềm độc hại. Mặc dù Nga và Ấn Độ là các mục tiêu chính, nạn nhân đã được phát hiện ở 113 quốc gia, nhấn mạnh sự lan rộng toàn cầu của mối đe dọa này.
Để chống lại mối đe dọa này và các mối đe dọa tương tự, người dùng được cáoị:
Theo: BleepingComputer
Chiến dịch sử dụng quảng cáo lừa đảo và bot Telegram để tấn công người dùng. Khi cài đặt, phần mềm yêu cầu quyền đọc SMS, chặn và gửi OTP đến máy chủ điều khiển và kiểm soát (C&C). Các OTP bị đánh cắp sau đó được bán trên thị trường tội phạm mạng, giúp kẻ tấn công vượt qua xác thực hai yếu tố.
(Ảnh minh họa: Zimperium zLabs)
Những kẻ tấn công đã chuyển từ Firebase sang GitHub và nhúng địa chỉ C&C trực tiếp vào ứng dụng. Nghiên cứu của Zimperium phát hiện động cơ tài chính rõ ràng, liên kết một mẫu phần mềm với trang web bán số điện thoại và OTP bị đánh cắp.
Quy mô của chiến dịch thật đáng kinh ngạc:
Hơn 107,000 ứng dụng độc hại: Chiến dịch quy mô lớn nhắm vào nhiều nạn nhân toàn cầu.
Hơn 95% mẫu phần mềm không được biết đến: Hơn 99,000 mẫu không có trong kho lưu trữ thông thường.
60+ thương hiệu toàn cầu bị nhắm tới: Giám sát OTP từ hơn 600 thương hiệu.
113 quốc gia bị ảnh hưởng: Nga và Ấn Độ là mục tiêu chính.
13 máy chủ C&C: Được sử dụng để đánh cắp và rò rỉ SMS.
2,600 bot Telegram: Liên kết với chiến dịch.
Phần lớn mẫu phần mềm độc hại đã qua mặt phần mềm diệt virus và lẻn vào hệ thống mạng của người dùng. Các nhà nghiên cứu đã xác định được 13 máy chủ C&C và một mạng lưới bot Telegram rộng lớn tham gia vào việc phân phối phần mềm độc hại. Mặc dù Nga và Ấn Độ là các mục tiêu chính, nạn nhân đã được phát hiện ở 113 quốc gia, nhấn mạnh sự lan rộng toàn cầu của mối đe dọa này.
Để chống lại mối đe dọa này và các mối đe dọa tương tự, người dùng được cáoị:
- Tránh tải ứng dụng từ các nguồn không đáng tin cậy.
- Cẩn trọng khi nhấp vào các liên kết hoặc tương tác với bot Telegram.
- Giữ cho thiết bị của mình được cập nhật với các bản vá bảo mật mới nhất.
Theo: BleepingComputer