“New malicious campaign” dibservasi menggunakan aplikasi Android berbahaya untuk mencuri pesan SMS pengguna sejak Februari 2022 sebagai bagian dari “campaign” skala besar. Aplikasi berbahaya ini, yang mencakup lebih dari 107.000 sampel unik, dirancang untuk mencegat OTP yang digunakan untuk verifikasi akun online guna melakukan identity fraud. “Di antara 107.000 sampel malware tersebut, lebih dari 99.000 aplikasi ini tidak dikenal dan tidak tersedia di repositori umum, Malware ini memantau pesan kata sandi sekali pakai di lebih dari 600 merek global, dengan beberapa merek memiliki user ratusan juta.”
Korban campaign ini terdeteksi di 113 negara, dengan India dan Rusia menduduki urutan teratas, diikuti oleh Brasil, Meksiko, AS, Ukraina, Spanyol, dan Turki. Titik awal serangan adalah pemasangan aplikasi berbahaya yang dipasang korban pada perangkat mereka, baik melalui iklan menipu yang meniru daftar aplikasi Google Play Store atau salah satu dari 2.600 bot Telegram yang bertindak sebagai saluran distribusi dengan menyamar sebagai layanan sah (misalnya, Microsoft Word).Setelah diinstal, aplikasi meminta izin untuk mengakses pesan SMS yang masuk, kemudian menghubungi salah satu dari 13 server perintah dan kontrol (C2) untuk mentransmisikan pesan SMS yang dicuri. “Malware ini tetap tersembunyi, terus-menerus memantau pesan SMS baru yang masuk,” kata para peneliti. “Target utamanya adalah OTP yang digunakan untuk verifikasi akun online.” Berikut ilustrasi serangannya:
Saat ini tidak jelas siapa yang berada di balik operasi ini, meskipun pelaku ancaman telah diamati menerima berbagai metode pembayaran, termasuk cryptocurrency, untuk mendanai layanan bernama Fast SMS (fastsms[.]su) yang memungkinkan pelanggan membeli akses ke nomor telepon virtual. Kemungkinan besar, nomor telepon yang terkait dengan perangkat yang terinfeksi digunakan tanpa sepengetahuan pemiliknya untuk mendaftar ke berbagai akun online dengan memanen OTP yang diperlukan untuk otentikasi dua faktor (2FA). Pada awal 2022, Trend Micro mengungkapkan layanan serupa yang termotivasi secara finansial yang mengumpulkan perangkat Android ke dalam botnet yang dapat digunakan untuk “mendaftar akun sekali pakai dalam jumlah besar atau membuat akun yang diverifikasi telepon untuk melakukan penipuan dan kegiatan kriminal lainnya.” “Identitas yang dicuri ini berfungsi sebagai batu loncatan untuk aktivitas penipuan lebih lanjut, seperti membuat akun palsu di layanan populer untuk meluncurkan kampanye phishing atau serangan rekayasa sosial,” kata Zimperium.
Temuan ini menyoroti penyalahgunaan Telegram yang terus berlanjut, sebuah aplikasi pesan instan populer dengan lebih dari 950 juta pengguna aktif bulanan, oleh pelaku jahat untuk berbagai tujuan mulai dari penyebaran malware hingga C2. Awal bulan ini, Positive Technologies mengungkapkan dua keluarga pencuri SMS yang disebut SMS Webpro dan NotifySmsStealer yang menargetkan pengguna perangkat Android di Bangladesh, India, dan Indonesia dengan tujuan mengalihkan pesan ke bot Telegram yang dikelola oleh pelaku ancaman. Juga diidentifikasi oleh perusahaan keamanan siber Rusia adalah varian malware pencuri yang menyamar sebagai TrueCaller dan ICICI Bank, dan mampu mengekstrak foto pengguna, informasi perangkat, dan notifikasi melalui platform pesan.
“Rantai infeksi dimulai dengan serangan phishing tipikal di WhatsApp,” kata peneliti keamanan Varvara Akhapkina. “Dengan beberapa pengecualian, penyerang menggunakan situs phishing yang berpura-pura sebagai bank untuk membuat pengguna mengunduh aplikasi dari mereka.” Malware lain yang memanfaatkan Telegram sebagai server C2 adalah TgRAT, sebuah trojan akses jarak jauh Windows yang baru-baru ini diperbarui untuk menyertakan varian Linux. Ini dilengkapi untuk mengunduh file, mengambil tangkapan layar, dan menjalankan perintah dari jarak jauh. “Telegram banyak digunakan sebagai messenger korporat di banyak perusahaan,” kata Doctor Web. “Oleh karena itu, tidak mengherankan jika pelaku ancaman dapat menggunakannya sebagai vektor untuk menyebarkan malware dan mencuri informasi rahasia: popularitas program dan lalu lintas rutin ke server Telegram membuatnya mudah untuk menyamarkan malware di jaringan yang terkompromi.”
Sumber: https://thehackernews.com/2024/07/cybercriminals-deploy-100k-malware.html
