Tin tặc khai thác thiết bị Android bị nhiễm bệnh để đăng ký tài khoản dùng một lần

Phần mềm độc hại SMS cho Android

Một phân tích về các dịch vụ tài khoản được xác minh bằng điện thoại SMS (PVA) đã dẫn đến việc phát hiện ra một nền tảng giả mạo được xây dựng trên một liên quan đến hàng nghìn điện thoại Android bị nhiễm virus, một lần nữa chỉ ra những sai sót khi dựa vào SMS để xác thực tài khoản.

Dịch vụ SMS PVA, kể từ khi phổ biến vào năm 2018, cung cấp cho người dùng các số di động thay thế có thể được sử dụng để đăng ký các dịch vụ và nền tảng trực tuyến khác, đồng thời giúp bỏ qua xác thực dựa trên SMS và cơ chế đăng nhập một lần (SSO) được đưa ra để xác minh tài khoản mới.

Các nhà nghiên cứu của Trend Micro cho biết: “Loại dịch vụ này có thể được sử dụng bởi những kẻ xấu để đăng ký hàng loạt tài khoản dùng một lần hoặc tạo các tài khoản được xác minh bằng điện thoại để thực hiện các hoạt động gian lận và tội phạm khác”.

Dữ liệu đo từ xa do công ty thu thập cho thấy hầu hết các trường hợp lây nhiễm nằm ở Indonesia (47.357), tiếp theo là Nga (16.157), Thái Lan (11.196), Ấn Độ (8.109) và Pháp (5.548), Peru (4.915), Maroc ( 4.822), Nam Phi (4.413), Ukraine (2.920) và Malaysia (2.779).

Phần lớn các thiết bị bị ảnh hưởng là điện thoại Android giá rẻ do các nhà sản xuất thiết bị gốc như Lava, ZTE, Mione, Meizu, Huawei, Oppo và HTC lắp ráp.

Xem tiếp:   Panasonic bị vi phạm dữ liệu sau khi tin tặc xâm nhập vào mạng của hãng

Một dịch vụ cụ thể, được gọi là smspva[.]net, bao gồm các điện thoại Android bị nhiễm chặn tin nhắn SMS, mà các nhà nghiên cứu nghi ngờ có thể đã xảy ra theo một trong hai cách: thông qua phần mềm độc hại do người dùng vô tình tải xuống hoặc thông qua phần mềm độc hại được cài đặt sẵn vào thiết bị trong quá trình sản xuất, ngụ ý thỏa hiệp chuỗi cung ứng .

Dịch vụ VPA ngầm quảng cáo “số điện thoại ảo số lượng lớn” để sử dụng trên các nền tảng khác nhau thông qua API, ngoài việc tuyên bố sở hữu các số điện thoại trải dài trên hơn 100 quốc gia.

Phần mềm độc hại Guerrilla (“plug.dex”), về phần nó, được thiết kế để phân tích cú pháp các tin nhắn SMS nhận được trên điện thoại Android bị ảnh hưởng, kiểm tra chúng với các mẫu tìm kiếm cụ thể nhận được từ máy chủ từ xa, sau đó lọc các tin nhắn khớp với các biểu thức đó trở lại đến máy chủ.

Các nhà nghiên cứu cho biết: “Phần mềm độc hại này có cấu hình thấp, chỉ thu thập các tin nhắn văn bản khớp với ứng dụng được yêu cầu để nó có thể bí mật tiếp tục hoạt động này trong thời gian dài”. “Nếu dịch vụ SMS PVA cho phép khách hàng của họ truy cập vào tất cả các tin nhắn trên điện thoại bị nhiễm virus, chủ sở hữu sẽ nhanh chóng nhận thấy vấn đề.”

Xem tiếp:   Phần mềm độc hại mới được sử dụng bởi những kẻ tấn công SolarWinds đã không bị phát hiện trong nhiều năm

Với các cổng trực tuyến thường xác thực tài khoản mới bằng cách kiểm tra chéo vị trí (tức là địa chỉ IP) của người dùng so với số điện thoại của họ trong quá trình đăng ký, dịch vụ SMS PVA sẽ khắc phục hạn chế này bằng cách sử dụng proxy và VPN dân cư để kết nối với nền tảng mong muốn .

Hơn nữa, các dịch vụ này chỉ bán mã xác nhận một lần cần thiết tại thời điểm đăng ký tài khoản, với việc nhà điều hành mạng botnet sử dụng đội quân các thiết bị bị xâm nhập để nhận, kiểm tra và báo cáo mã xác minh SMS mà chủ sở hữu không biết và đồng ý.

Nói cách khác, mạng botnet tạo điều kiện dễ dàng truy cập vào hàng nghìn số điện thoại di động ở các quốc gia khác nhau, cho phép các tác nhân đăng ký tài khoản mới hàng loạt và sử dụng chúng cho các trò gian lận khác nhau hoặc thậm chí tham gia vào các hành vi phối hợp của người dùng không xác thực.

Các nhà nghiên cứu cho biết: “Sự hiện diện của các dịch vụ SMS PVA ảnh hưởng đến tính toàn vẹn của xác minh SMS như là phương tiện xác thực tài khoản chính”.

“Quy mô mà SMS PVA có thể cung cấp số điện thoại di động có nghĩa là các phương pháp thông thường để đảm bảo tính hợp lệ – chẳng hạn như chặn các số di động trước đây gắn với lạm dụng tài khoản hoặc xác định các số thuộc dịch vụ VoIP hoặc cổng SMS – sẽ không đủ.”

Xem tiếp:   SafeDNS: Giải pháp lọc web và bảo mật Internet dựa trên đám mây cho MSP

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …