Фірма мобільної безпеки Zimperium розкрила широку шкідливу кампанію, орієнтовану на користувачів Android в Індії, щоб викрасти особисту та банківську інформацію.

Охорона Fatboypanel, кампанія включила використання понад 1000 шкідливих додатків для крадіжки інформації та відрізняється від типової зловмисної кампанії, орієнтованої на мобільний мобільний, використовуючи номери телефонних телефонів для перенаправлення текстових повідомлень, замість серверів командування та контролю (C&C) для Одноразовий пароль (OTP) крадіжка.

За словами Zimperium, напади організовують єдиний актор загрози, який використовував приблизно 1000 телефонних номерів для збору інформації користувачів. Компанія також визначила приблизно 900 зразків зловмисного програмного забезпечення, пов'язаних з кампанією, в першу чергу зосередившись на користувачах індійських банків.

“Аналіз зібраних зразків виявляє спільні структури коду, елементи інтерфейсу користувача та логотипи додатків, що пропонує узгоджені зусилля одного актора загрози, орієнтованих на мобільні пристрої, що керують ОС Android”, – заявив Zimperium у дослідницькій записці.

Компанія заявила, що виявила понад 220 загальнодоступних відра для зберігання Firebase, в яких актор загрози зберігав 2,5 гігабайти інформації, таких як SMS -повідомлення від банків, картки та банківські дані та дані урядового посвідчення, та підрахували, що 50 000 користувачів були порушені.

Кампанія покладалася на WhatsApp для розповсюдження файлів APK, що представляють себе урядовими або банківськими програмами, але які замість цього встановлювали зловмисне програмне забезпечення, спонукаючи користувачів розкрити свою конфіденційну інформацію.

«Зловмисне програмне забезпечення використовує дозволи на SMS для перехоплення та екзфільтратних повідомлень, включаючи OTP, полегшуючи несанкціоновані транзакції. Крім того, він використовує методи схованості, щоб приховати свою ікону та протистояти видаленню, забезпечуючи наполегливість на компрометованих пристроях », – сказав Зімперій.

Компанія заявила, що зловмисне застосування жертв потерпілих, захоплюючи та переадаючи SMS -повідомлення, надсилаючи викрадені повідомлення в бази даних Firebase, що виступають як сервери C&C, або поєднуючи дві методики.

У програмах є жорсткі кодовані номери телефонів, до яких вони витягують OTP та SMS-повідомлення, “припускаючи, що ці цифри або безпосередньо контролюються зловмисниками, або належать до порушених осіб під їх контролем”.

Фірма з кібербезпеки також виявила, що бази даних Firebase, що зберігають викрадену інформацію, не вистачає механізму аутентифікації, тобто вони були доступні для будь -кого, викриття деталей адміністратора та номерів телефонів, що використовуються для ексфільтрації.

Доступ до адміністративної панелі зловмисників, Zimperium виявив номери телефонів, які використовуються в атаках, і зробив висновок, що дозволило багатьом користувачам керувати кампанією. Zimperium відслідковував жорсткі кодовані номери телефонів до конкретних регіонів Індії, таких як Західний Бенгал, Біхар та Джаркханд.

Пов'язаний: Зловмисне програмне забезпечення Firescam Android Packs Infostealer, можливості шпигунського програмного забезпечення

Пов'язаний: Чи достатньо XDR? Приховані прогалини у вашій мережі безпеки

Пов'язаний: Недолік безпеки, знайдений у стандарті шифрування мобільних даних 2G

Пов'язаний: Кіберзлочинці крадуть мільйони, підробляючи тисячі мобільних пристроїв