Hackeři okrádají uživatele pomocí škodlivých SMS zpráv
04.01.2022
Hackeři okrádají uživatele pomocí škodlivých SMS zpráv
  • V Íránu byly infikovány desítky tisíc zařízení se systémem Android, ukradeny byly miliardy íránských rijálů.

  • Útočníci prodávají hrozbu na Telegramu za pouhých 50 dolarů.

  • Ukradená data nebyla chráněna a byla volně přístupná online.


Check Point Research varuje před novou vlnou kyberútoků na íránské obyvatele. Po útocích na železnici nebo čerpací stanice sledujeme kampaň infikující desítky tisíc zařízení pomocí speciálně vytvořené SMS zprávy, která zdánlivě vypadá jako zpráva od íránské vlády. Jakmile uživatel klikne na zaslaný odkaz a stáhne si škodlivou aplikací pro Android, dojde ke krádeži informací o kreditních kartách a také ke krádeži SMS zpráv, včetně dvoufaktorových ověřovacích kódů. Útočníci tak mohou okrádat uživatele a navíc z každého infikovaného zařízení rozesílat podvodné SMS na další kontakty. Aktuálně sice sledujeme útoky v Íránu, ale podobné kampaně hrozí kdekoliv po světě.

Útočníci využívají infikovaná zařízení jako boty a šíří pomocí nich phishingové SMS zprávy na další kontakty. Hackeři nabízí tyto útočné nástroje prostřednictvím několika kanálů na Telegramu. Za 50-150 dolarů lze koupit celý balíček, včetně škodlivé aplikace a základní infrastruktury s ovládacím panelem, který dokáže snadno spravovat i nezkušený útočník.



Krádeže miliard íránských rijálů

Check Point odhaduje, že hackeři pronikli do desítek tisíc zařízení se systémem Android, nainstalovali do nich malware a ukradli miliardy íránských rijálů. V průměru bylo dle zjištění výzkumného týmu ukradeno od jedné oběti 1000 až 2000 dolarů. Ukradená data navíc nebyla nijak chráněna a byla volně přístupná online.

Metodika útoku

1. Útok začíná phishingovou SMS zprávou. V mnoha případech se jedná o podvodnou zprávu z elektronického soudního systému, která oběť informuje o nově podané žalobě. SMS zpráva pak obsahuje odkaz na webovou stránku, na které lze stížnost sledovat.

2. Webová stránka se snaží uživatele přimět ke stažení škodlivé aplikace pro Android a zadání údajů o kreditní kartě pod záminkou drobného poplatku za službu.

3. Po instalaci škodlivá aplikace krade všechny SMS zprávy z infikovaného zařízení a umožní útočníkům používat kreditní kartu s přístupem k ověřovacím SMS zprávám.

4. ​Škodlivá aplikace je propojena s řídícím a velícím (C&C) serverem a pravidelně stahuje nové příkazy. Jedním z nich je například příkaz k šíření podvodných SMS zpráv na další telefonní čísla.


Infekční řetězec

Android backdoor umí například:

  • Krást SMS: Ihned po instalaci falešné aplikace jsou všechny SMS zprávy nahrány na server útočníka.
  • Maskovat se: Jakmile jsou hackerům odeslány informace o kreditní kartě, aplikace může skrýt svou ikonu, aby nevzbudila podezření a ztížila případnou snahu o odinstalování.
  • Obejít 2FA: Útočníci, kteří mají přístup k údajům o kreditní kartě i k SMS v zařízení oběti, mohou krást finance z bankovních účtů oběti a obejít i 2FA ověřování (jednorázové heslo).
  • Chovat se jako botnet: Malware umožňuje útočníkům provádět v zařízení oběti další nebezpečné aktivity, například krást kontakty a odesílat SMS zprávy.
  • Lavinově se šířit: Aplikace může odesílat SMS zprávy na telefonní čísla dalších potenciálních obětí, která získá z C&C serveru. Útočníci tak mohou šířit phishingové zprávy z telefonních čísel běžných uživatelů a nemusí tak používat jen omezené množství čísel, která lze snadno zablokována. Čísla proto nelze jednoduše blokovat a označit za škodlivá nebo pomocí nich vystopovat útočníky.

„Kyberútoky v Íránu se dále stupňují. Sledovali jsme například útoky na železnici, čerpací stanice nebo národní leteckou společnost. Nyní přichází další fáze chaosu a ačkoli nevidíme přímou souvislost mezi novými kyberútoky a útoky na kritickou infrastrukturu, tak i tyto ‚nesofistikované‘ hrozby způsobují masivní škody. Zdá se, že hlavním motivem aktuálních kampaní je finanční zisk a podle všeho útočníci pochází přímo z Íránu,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point Software Technologies. „Kampaň překvapuje rychlostí a lavinovým šířením. Hackeři využívají techniky sociálního inženýrství a navzdory relativní technické jednoduchosti použitých nástrojů způsobují obětem velké škody. Důvodů úspěchu je několik. Zaprvé, pokud se jedná o oficiálně vypadající vládní zprávy, mají běžní občané tendenci kliknout na přiložený odkaz. Za druhé, vzhledem k botnetové povaze těchto útoků, kdy každé infikované zařízení dále šíří phishingové SMS zprávy, se kampaně lavinově šíří mezi obrovské množství potenciálních obětí. Ačkoli aktuálně jsou terčem íránští obyvatelé, podobné útoky mohou ohrožovat uživatele kdekoli na světě.“

Bezpečnostní tipy

  • Ke stahování aplikací používejte pouze oficiální obchody s aplikacemi.
  • Používejte dvoufaktorové ověřování, nejlépe ze dvou různých zařízení.
  • Chraňte svá mobilní zařízení stejně jako své notebooky.