Chiến dịch tấn công kể trên được cho là đã triển khai từ tháng 2/2022. Theo các chuyên gia bảo mật, các ứng dụng android độc hại, bao gồm hơn 107.000 mẫu, được thiết kế để chặn mật khẩu một lần (OTP) được gửi tới thiết bị của người dùng.
"Trong số 107.000 mẫu phần mềm độc hại đó, hơn 99.000 ứng dụng này chưa được biết đến và không có trong các kho lưu trữ có sẵn nói chung", công ty bảo mật di động Zimperium cho biết trong một báo cáo được chia sẻ với The Hacker News. "Các phần mềm độc hại này đã theo dõi các tin nhắn có chứa mã OTP được gửi đi từ hơn 600 thương hiệu toàn cầu, với một số thương hiệu có số lượng người dùng lên tới hàng trăm triệu".
Nạn nhân của chiến dịch này đã được phát hiện ở 113 quốc gia, đứng đầu danh sách là Ấn Độ và Nga, tiếp theo là Brazil, Mexico, Mỹ, Ukraine, Tây Ban Nha và Thổ Nhĩ Kỳ. Những con số này phác họa bức tranh đáng lo ngại về hoạt động quy mô lớn và vô cùng tinh vi đứng sau chiến dịch.
Về phương thức tấn công, ban đầu các mã độc đánh cắp SMS (SMS stealer) được phát tán qua quảng cáo độc hại hoặc bot Telegram, tự động giao tiếp với nạn nhân. Trong trường hợp đầu tiên, nạn nhân bị lừa truy cập các trang giả mạo Google Play; trường hợp còn lại, các bot Telegram hứa hẹn cho người dùng ứng dụng Android lậu nhưng trước tiên, họ phải cung cấp số điện thoại để nhận được file APK ( tệp được sử dụng bởi hệ điều hành Android để phân phối và cài đặt các ứng dụng di động). Con bot này dùng số điện thoại đó để tạo ra một file APK mới, cho phép kẻ xấu theo dõi hoặc tấn công nạn nhân trong tương lai.
Zimperium cho biết, chiến dịch sử dụng 2.600 bot Telegram để quảng bá nhiều APK Android khác nhau, được điều khiển bằng 13 máy chủ Command & Control.
"Phần mềm độc hại vẫn ẩn, liên tục theo dõi các tin nhắn SMS mới đến. Mục tiêu chính của nó là OTP được sử dụng để xác minh tài khoản trực tuyến", các nhà nghiên cứu cho biết.
Các chuyên gia phát hiện mã độc truyền tin nhắn SMS chụp lại được đến một điểm cuối API tại website 'fastsms.su”. Website này bán quyền truy cập số điện thoại ảo tại nước ngoài, từ đó dùng để ẩn danh và xác thực nền tảng, dịch vụ trực tuyến. Nhiều khả năng những thiết bị nhiễm độc đã bị lợi dụng mà nạn nhân không hề hay biết.
Đáng lưu ý cho người dùng android, khi cấp quyền truy cập SMS, mã độc sẽ dễ dàng đọc tin nhắn SMS, đánh cắp thông tin nhạy cảm, bao gồm mã OTP trong quá trình đăng ký tài khoản và xác thực hai yếu tố. Kết quả là, nạn nhân có thể chứng kiến hóa đơn điện thoại tăng vọt hoặc vô tình bị vướng vào các hoạt động bất hợp pháp, truy vết liên quan tới thiết bị và số điện thoại của mình.
Vào đầu năm 2022, Trend Micro đã tiết lộ một vụ tấn công tương tự có động cơ tài chính, mã độc sẽ dồn các thiết bị Android vào một mạng botnet có thể được sử dụng để "đăng ký hàng loạt tài khoản dùng một lần hoặc tạo tài khoản đã xác minh qua điện thoại để thực hiện hành vi gian lận và các hoạt động tội phạm khác".
Zimperium cho biết: "Những thông tin đăng nhập bị đánh cắp này sẽ là bàn đạp cho các hoạt động gian lận tiếp theo, chẳng hạn như tạo tài khoản giả trên các dịch vụ phổ biến để phát động các chiến dịch lừa đảo hoặc tấn công kỹ thuật xã hội".
Những phát hiện này làm nổi bật tình trạng lạm dụng liên tục Telegram, một ứng dụng nhắn tin tức thời phổ biến với hơn 950 triệu người dùng hoạt động hàng tháng, bởi những kẻ xấu cho nhiều mục đích khác nhau, từ phát tán phần mềm độc hại đến C2.
Đầu tháng này, Positive Technologies đã tiết lộ hai nhóm phần mềm đánh cắp tin nhắn SMS có tên là SMS Webpro và NotifySmsStealer nhắm vào người dùng thiết bị Android ở Bangladesh, Ấn Độ và Indonesia với mục đích chuyển tin nhắn đến bot Telegram do kẻ tấn công duy trì.
Công ty an ninh mạng của Nga cũng xác định các loại phần mềm độc hại đánh cắp có thể ngụy trang thành TrueCaller và ICICI Bank, có khả năng đánh cắp ảnh, thông tin thiết bị và thông báo của người dùng thông qua nền tảng nhắn tin.
"Chuỗi lây nhiễm bắt đầu bằng một cuộc tấn công lừa đảo điển hình trên WhatsApp", nhà nghiên cứu bảo mật Varvara Akhapkina cho biết. "Với một số ít trường hợp ngoại lệ, kẻ tấn công sử dụng các trang web lừa đảo đóng giả là ngân hàng để khiến người dùng tải xuống ứng dụng từ các trang web đó".
Một phần mềm độc hại khác sử dụng Telegram làm máy chủ C2 là TgRAT, một trojan truy cập từ xa trên Windows gần đây đã được cập nhật để bao gồm một biến thể Linux. Nó được trang bị để tải xuống tệp, chụp ảnh màn hình và chạy lệnh từ xa.
"Telegram được sử dụng rộng rãi như một công cụ truyền tin doanh nghiệp tại nhiều công ty", Doctor Web cho biết. "Do đó, không có gì ngạc nhiên khi những kẻ đe dọa có thể sử dụng nó như một phương tiện để phân phối phần mềm độc hại và đánh cắp thông tin bí mật: tính phổ biến của chương trình và lưu lượng truy cập thường xuyên đến máy chủ của Telegram giúp dễ dàng ngụy trang phần mềm độc hại trên mạng bị xâm phạm".
