Một ứng dụng Android SMS độc hại được phát hiện trên Cửa hàng Google Play đã bị phát hiện lén lút thu thập tin nhắn văn bản với mục tiêu tạo tài khoản trên nhiều nền tảng như Facebook, Google và WhatsApp.
Ứng dụng có tên Symoo (com.vanjan.sms), đã có hơn 100.000 lượt tải xuống và hoạt động như một bộ chuyển tiếp để truyền tin nhắn đến một máy chủ, nơi quảng cáo dịch vụ tạo tài khoản.
Điều này đạt được bằng cách sử dụng các số điện thoại được liên kết với các thiết bị bị nhiễm làm phương tiện để thu thập mật khẩu một lần thường được gửi để xác minh người dùng khi thiết lập tài khoản mới.
“Phần mềm độc hại hỏi số điện thoại của người dùng trong màn hình đầu tiên”, nhà nghiên cứu bảo mật Maxime Ingrao, người đã phát hiện ra phần mềm độc hại, đồng thời yêu cầu quyền SMS.
“Sau đó, nó giả vờ tải ứng dụng nhưng vẫn luôn ở trên trang này, đó là để ẩn giao diện của SMS đã nhận và người dùng không thấy SMS đăng ký các dịch vụ khác nhau.”
Một số dịch vụ chính được đăng ký bất hợp pháp bằng số điện thoại bao gồm Amazon, Discord, Facebook, Google, Instagram, KakaoTalk, Microsoft, Nike, Telegram, TikTok, Tinder, Viber và WhatsApp, cùng những dịch vụ khác.
Ngoài ra, dữ liệu do phần mềm độc hại thu thập được chuyển sang miền có tên “goomy[.]fun,” trước đây đã được sử dụng trong một ứng dụng độc hại khác có tên Virtual Number (com.programmatics.virtualnumber) đã bị gỡ xuống khỏi Cửa hàng Play.
Nhà phát triển ứng dụng, Walven, cũng đã được liên kết với một ứng dụng Android khác được gọi là ActivationPW – Số ảo (com.programmatics.activation) tuyên bố cung cấp “số ảo để nhận xác minh qua SMS” từ hơn 200 quốc gia với giá dưới 50 xu.
Theo Ingrao, Symoo và ActivationPW đại diện cho hai đầu của âm mưu lừa đảo, trong đó số điện thoại của các thiết bị bị tấn công đã cài đặt phần trước được sử dụng để giúp người dùng mua tài khoản thông qua phần sau.
Google nói với The Hacker News rằng hai ứng dụng này đã bị xóa khỏi Play Store và nhà phát triển đã bị cấm.
