A ISH Tecnologia emitiu um alerta a respeito das campanhas de um Trojan digital que tem atingido diversos dispositivos Android ao redor do mundo. A empresa chama a atenção para as operações de disseminação de malwares e infecções de aparelhos eletrônicos pelo Stealer-SMS.
O ator de ameaças em questão explora as vulnerabilidades dos celulares, por meio de bots do Telegram, a fim de invadir seus sistemas e roubar informações sensíveis, como senhas 2FA e mensagens dos usuários. Os pesquisadores descobriram os métodos de operação do Stealer SMS e mapearam sua cadeia de infecção, dividida em cinco fases:
Fase 1: Instalação do aplicativo
A vítima é enganada para fazer o download de um aplicativo malicioso por meio de um anúncio enganoso que imita uma loja de apps legítima, ou pelo uso de bots automatizados do Telegram que se comunicam diretamente com o alvo.
Fase 2: Solicitações de permissão
Após a instalação, o app malicioso solicita a autorização de leitura de mensagem SMS. Esta é uma permissão de alto risco no Android que concede amplo acesso a dados pessoais sensíveis. Embora aplicativos legítimos possam exigir permissões de SMS para funções específicas e bem definidas, a solicitação deste em particular provavelmente não é autorizada e tem a intenção de exfiltrar as comunicações privadas de mensagens de texto da vítima.
Fase 3: Recuperação do servidor de Comando e Controle
O malware então alcança seu servidor de Comando e Controle (C&C). Este servidor atua como o cérebro das operações, e é responsável por executar comandos e coletar dados roubados.
Inicialmente, o malware dependia do Firebase para recuperar o endereço do servidor C&C. No entanto, os invasores adaptaram suas táticas e agora utilizam repositórios do GitHub ou até mesmo incorporam o endereço do servidor C&C diretamente no próprio aplicativo.
Fase 4: Comunicação C&C
Com o endereço do servidor C&C protegido, o dispositivo infectado estabelece uma conexão. Essa comunicação serve a um propósito duplo; 1) O malware registra sua presença no servidor, confirmando seu status operacional, e 2) Estabelece um canal para transmitir mensagens SMS roubadas, incluindo quaisquer códigos OTP valiosos.
Fase 5: Colheita de OTP
A fase final transforma o dispositivo da vítima em um interceptador silencioso. O malware permanece oculto e monitora constantemente novas mensagens SMS recebidas. Seu alvo principal são OTPs usados para verificação de conta online.
Exemplo de ataque e dados coletados
Um usuário inicia uma conversa com um bot em seu dispositivo móvel, que então solicitou seu número de telefone. Após obter essa informação, o bot envia um APK (pacote de aplicativo Android) especialmente modificado para incluir o número da vítima. Isso permite que os cibercriminosos direcionem e personalizem o ataque com mais precisão. Uma vez que o controle da vítima é estabelecido, o invasor pode roubar e comercializar informações pessoais para obter lucro.
De acordo com os pesquisadores que investigaram as operações do Stealer, a campanha desse Trojan é muito variada e mira diversos alvos, em países diferentes.
Diante desse cenário, A ISH Tecnologia destaca algumas informações importantes a respeito da campanha mal-intencionada do Stealer SMS:
- Mais de 107.000 aplicativos de malware exclusivos: Até o momento, foi encontrado mais de 107.000 amostras de malware diretamente vinculadas a esta campanha. Isso indica uma campanha prolífica visando um vasto número de vítimas globais.
- Mais de 95% das amostras de malware são desconhecidas ou indisponíveis: Dessas 107.000 amostras de malware, mais de 99.000 desses aplicativos são/eram desconhecidos e indisponíveis em repositórios geralmente disponíveis.
- Mais de 60 serviços de marcas globais de primeira linha foram alvos: Esse malware é capaz de monitorar mensagens de senha de uso único em mais de 600 marcas globais.
- 113 Países: As vítimas estão espalhadas por 113 países. Rússia e Índia são os alvos primários com base no volume de usuários retirados das amostras.
- 13 servidores de comando e controle (C&C): Foram identificados 13 servidores C&C usados pelo malware para roubar e vazar mensagens SMS dos dispositivos das vítimas.
- Ampla rede de bots do Telegram: Uma vasta rede de aproximadamente 2.600 bots do Telegram foi vinculada a esta campanha. Ela serve como um canal de distribuição para alguns dos aplicativos maliciosos.
Disposta a contribuir com a segurança da comunidade digital, a ISH Tecnologia elenca dicas e recomendações para a mitigação de ameaças cibernéticas como o Stealer SMS:
- Evitar baixar apps de fontes não oficiais;
- Revisar permissões de apps;
- Implementar soluções de defesa móvel;
- Educação do usuário;
- Atualizações regulares.