Forscher des Sicherheitsunternehmens Zimperium entdeckten die bösartige Kampagne und verfolgen sie seit Februar 2022. Sie berichten, dass sie mindestens 107.000 verschiedene Malware-Samples entdeckt haben, die mit der Kampagne in Verbindung stehen.

Die Schadsoftware verfolgt Nachrichten mit OTP-Codes von über 600 globalen Marken, von denen einige Hunderte Millionen Nutzer haben. Das Motiv der Hacker sind finanzieller Natur.

Telegramm-Bot fordert Benutzer auf, ihre Telefonnummer anzugeben, um eine APK-Datei zu senden

Laut Zimperium wird SMS-Stealer-Malware über bösartige Anzeigen oder Telegram-Bots verbreitet, die automatisch mit Opfern kommunizieren. Hacker nutzen zwei Angriffsszenarien.

Im ersten Fall wird das Opfer dazu verleitet, auf gefälschte Google Play-Seiten zuzugreifen. Im anderen Fall verspricht der Telegram-Bot den Nutzern raubkopierte Android-Apps, muss aber zunächst eine Telefonnummer angeben, um die APK-Datei zu erhalten. Der Bot verwendet diese Telefonnummer, um eine neue APK-Datei zu erstellen, die es dem Hacker ermöglicht, das Opfer in Zukunft zu verfolgen oder anzugreifen.

Laut Zimperium nutzte die bösartige Kampagne 2.600 Telegram-Bots, um verschiedene Android-APKs zu bewerben, die von 13 Command & Control-Servern gesteuert wurden. Die Opfer verteilten sich auf 113 Länder, die meisten stammten jedoch aus Indien und Russland. Auch in den USA, Brasilien und Mexiko gab es zahlreiche Opfer. Diese Zahlen zeichnen ein beunruhigendes Bild der groß angelegten und hochentwickelten Operation hinter der Kampagne.

Experten fanden heraus, dass die Schadsoftware abgefangene SMS-Nachrichten an einen API-Endpunkt auf der Website „fastsms.su“ überträgt. Diese Website verkauft Zugang zu virtuellen Telefonnummern im Ausland, die zur Anonymisierung und Authentifizierung von Online-Plattformen und -Diensten genutzt werden können. Es ist wahrscheinlich, dass infizierte Geräte ohne das Wissen des Opfers ausgenutzt wurden.

Durch den Zugriff auf SMS ermöglichen Opfer außerdem Schadsoftware, SMS-Nachrichten zu lesen und vertrauliche Informationen zu stehlen, darunter OTP-Codes bei der Kontoregistrierung und der Zwei-Faktor-Authentifizierung. Dies kann zu hohen Telefonrechnungen führen oder Opfer können unwissentlich in illegale Aktivitäten verwickelt werden, indem ihre Geräte und Telefonnummern verfolgt werden.

Um nicht in die Falle von Kriminellen zu tappen, sollten Android-Benutzer keine APK-Dateien außerhalb von Google Play herunterladen, keinen Zugriff auf nicht zugehörige Anwendungen gewähren und sicherstellen, dass Play Protect auf dem Gerät aktiviert ist.