Una nuova campagna malevola è stata osservata nell'utilizzo di applicazioni Android infette per rubare i messaggi SMS degli utenti sin da febbraio 2022. Queste applicazioni, che comprendono oltre 107,000 campioni unici, sono progettate per intercettare le password monouso (OTP) utilizzate per la verifica degli account online, permettendo così ai cybercriminali di commettere frodi d'identità.

Secondo un rapporto della società di sicurezza mobile Zimperium, condiviso con The Hacker News, oltre 99,000 di queste applicazioni erano sconosciute e non disponibili nei repository comunemente accessibili. Il malware monitorava i messaggi OTP provenienti da oltre 600 marchi globali, alcuni dei quali contano centinaia di milioni di utenti.

Le vittime di questa campagna sono state rilevate in 113 paesi, con India e Russia in cima alla lista, seguite da Brasile, Messico, Stati Uniti, Ucraina, Spagna e Turchia. Il punto di partenza dell'attacco è l'installazione di un'applicazione malevola, che l'utente viene ingannato a installare sul proprio dispositivo tramite annunci ingannevoli che imitano i listini delle app del Google Play Store o attraverso uno dei 2,600 bot di Telegram che fungono da canale di distribuzione, mascherandosi come servizi legittimi (ad esempio, Microsoft Word).

Una volta installata, l'app richiede il permesso di accedere ai messaggi SMS in arrivo, dopodiché si collega a uno dei 13 server di comando e controllo (C2) per trasmettere i messaggi SMS rubati. Il malware rimane nascosto, monitorando costantemente i nuovi messaggi SMS in arrivo, con l'obiettivo principale di intercettare gli OTP utilizzati per la verifica degli account online.

Non è ancora chiaro chi sia dietro l'operazione, anche se è stato osservato che gli attori delle minacce accettano vari metodi di pagamento, inclusa la criptovaluta, per alimentare un servizio chiamato Fast SMS (fastsms[.]su) che permette ai clienti di acquistare accesso a numeri di telefono virtuali. È probabile che i numeri di telefono associati ai dispositivi infetti vengano utilizzati senza la conoscenza del proprietario per registrarsi a vari account online, raccogliendo gli OTP necessari per l'autenticazione a due fattori (2FA).

All'inizio del 2022, Trend Micro ha fatto luce su un servizio simile motivato finanziariamente che coinvolgeva dispositivi Android in una botnet utilizzabile per **registrare account usa e getta in massa o creare account verificati tramite telefono per condurre frodi e altre attività criminali**. Queste credenziali rubate servono come trampolino di lancio per ulteriori attività fraudolente, come la creazione di account falsi su servizi popolari per lanciare campagne di phishing o attacchi di ingegneria sociale.

I risultati evidenziano l'abuso continuo di Telegram, una popolare app di messaggistica istantanea con oltre 950 milioni di utenti attivi mensili, da parte di attori malevoli per vari scopi, dalla propagazione di malware al comando e controllo. Recentemente, Positive Technologies ha rivelato due famiglie di malware sottrattori di SMS chiamate SMS Webpro e NotifySmsStealer che prendono di mira gli utenti di dispositivi Android in Bangladesh, India e Indonesia, con l'obiettivo di sottrarre messaggi a un bot di Telegram mantenuto dagli attori delle minacce.

Inoltre, sono stati identificati ceppi di malware sottrattori che si mascherano da TrueCaller e ICICI Bank, capaci di esfiltrare foto degli utenti, informazioni sui dispositivi e notifiche tramite la piattaforma di messaggistica. La catena di infezione inizia con un tipico attacco di phishing su WhatsApp, dove l'attaccante utilizza siti di phishing che si spacciano per banche per indurre gli utenti a scaricare app malevole.

Un altro malware che sfrutta Telegram come server di comando e controllo è TgRAT, un trojan di accesso remoto per Windows recentemente aggiornato per includere una variante Linux. È in grado di scaricare file, catturare schermate ed eseguire comandi da remoto. Telegram è ampiamente utilizzato come messaggero aziendale in molte compagnie, rendendo facile per gli attori delle minacce utilizzarlo come vettore per distribuire malware e rubare informazioni confidenziali.