Una preoccupante campagna di cyber attacco sta compromettendo la sicurezza dei dispositivi Android in ben 113 nazioni, utilizzando una sofisticata rete di bot Telegram per diffondere un malware progettato per sottrarre SMS e password OTP (one-time passwords).
Questa aggressione mirata ha colpito oltre 600 servizi online, minacciando l’integrità dell’autenticazione a due fattori (2FA) e mettendo a rischio i dati degli utenti. I ricercatori di Zimperium hanno scoperto l’operazione malevola a febbraio 2022 e da allora l’hanno monitorata costantemente. Finora, sono stati individuati oltre 107.000 esemplari distinti del malware coinvolto. Il fine di questi cybercriminali sembra essere esclusivamente economico: sfruttano i dispositivi infetti per bypassare le misure di sicurezza e per camuffare la propria identità online.
La diffusione del malware avviene principalmente attraverso due canali: malvertising e bot Telegram. Nel caso del malvertising, gli utenti vengono ingannati da pubblicità che rimandano a pagine web che imitano Google Play. Questi siti falsi utilizzano contatori di download gonfiati per apparire più affidabili di quanto non siano in realtà, inducendo gli utenti a scaricare applicazioni infette. Parallelamente, i bot Telegram agiscono in maniera più diretta.
Offrono applicazioni piratate per Android, richiedendo agli utenti il numero di telefono prima di inviare il file APK. Con il numero di telefono in mano, i bot generano un APK personalizzato che consente un monitoraggio mirato e potenziali attacchi futuri.
Una volta installato, il malware raccoglie i messaggi SMS e li inoltra a un endpoint API su ‘fastsms.su’. Questo sito web permette l’acquisto di numeri di telefono virtuali, che possono essere utilizzati per anonimizzare l’identità e accedere a servizi online. I dispositivi compromessi vengono così utilizzati senza che i legittimi proprietari ne abbiano consapevolezza, servendo a scopi fraudolenti. Le vittime di questo attacco possono trovarsi di fronte a spese non autorizzate sui loro conti telefonici o addirittura a essere coinvolte in attività illecite, il tutto tracciabile fino al loro dispositivo e numero di telefono.
Per contrastare questo tipo di minacce, è fondamentale adottare alcune misure di precauzione. È essenziale evitare il download di file APK da fonti non ufficiali e concedere solo i permessi strettamente necessari alle applicazioni. Inoltre, è consigliabile mantenere attiva la funzione Play Protect, che aiuta a individuare e bloccare applicazioni dannose.