แอปนี้ทำการไฮแจ็กมือถือของคุณและใช้เพื่อส่ง SMS ที่เป็นอันตราย

December 2, 2022 แมตต์มิลส์ ปพลิเคชันมือถือ, ข่าว 0

มีการค้นพบแอปใหม่ซึ่งภายใต้หน้ากากของแอปจัดการ SMS ใช้หมายเลขโทรศัพท์ของคุณเป็นรังเพื่อรับรหัสยืนยันตัวตนแบบสองปัจจัยและ สร้างบัญชีปลอม ด้วย SMS ที่เป็นอันตรายเหล่านั้น เพื่อให้เข้าใจถึงจำนวนผู้คนที่เข้าถึง มียอดดาวน์โหลดมากกว่า 100,000 ครั้งแล้ว

ช่องโหว่นี้ได้รับ ค้นพบโดย Maxime Ingraoนักวิจัยด้านความปลอดภัยทางไซเบอร์ของ EvinaTech นอกจากอันตรายแล้ว มันยังเชื่อมโยงกับแอปอันตรายอื่น ๆ อย่างอันตรายเพื่อสร้างระบบนิเวศทั้งหมดของการสร้างบัญชีปลอม

แอพนี้ขโมยมือถือของคุณ

แอพนี้สร้างบัญชีปลอมผ่าน SMS

เมื่อติดตั้งบนอุปกรณ์แล้ว แอป Symoo จะขอสิทธิ์เข้าถึงเพื่อส่งและอ่าน SMS ซึ่งฟังดูเป็นเรื่องปกติเนื่องจากมีการทำตลาดเป็นแอปจัดการ SMS ที่ "ใช้งานง่าย" ในหน้าจอแรก ระบบจะขอให้ผู้ใช้ระบุหมายเลขโทรศัพท์ของตน และหลังจากนั้น ระบบจะซ้อนทับ หน้าจอโหลดปลอม ที่คาดว่าจะแสดงความคืบหน้าของการโหลดทรัพยากร

Imagen del usuario ของ twitter
มักซีม อินกราว
@IngraoMaxime
พบ # ใหม่Android #มัลแวร์ที่อ่าน SMS ทั้งหมดและส่งไปยังเซิร์ฟเวอร์ 👀

เว็บไซต์ขายการสร้างบัญชี (Fb, Google…) ใช้โทรศัพท์ที่ติดไวรัสเพื่อทำการลงทะเบียนด้วย auth sms 🥷🏻

N°1 ในแอพ sms ใหม่ใน Play Store ใน #อินเดีย มีคนติดเชื้อมากกว่า 100 คนที่นั่น 👾 https://t.co/VH6DHWEG4y

28 พฤศจิกายน 2022 • 2:41 น

65

5

อย่างไรก็ตาม กระบวนการนี้ต้องใช้เวลา ทำให้ผู้ให้บริการระยะไกลสามารถส่งข้อความ SMS แบบ 2FA (การตรวจสอบสิทธิ์สองปัจจัย) หลายรายการเพื่อสร้างบัญชีในบริการต่างๆ อ่านเนื้อหา และส่งต่อไปยังอาชญากร

เมื่อกระบวนการเสร็จสิ้น ร่องรอยทั้งหมดจะถูกลบโดยอัตโนมัติ แอปจะหยุดทำงานและไปไม่ถึงอินเทอร์เฟซ SMS ที่สัญญาไว้ ดังนั้นผู้ใช้มักจะถอนการติดตั้งโดยคิดว่าไม่ได้ผลและไม่รู้ว่าตนกำลังทำอะไรอยู่ ตกเป็นเหยื่อของ

เมื่อถึงเวลานั้น แอปจะใช้หมายเลขโทรศัพท์ของผู้ใช้ Android ไปแล้ว สร้างบัญชีปลอมบนแพลตฟอร์มออนไลน์ต่างๆ และแม้แต่ผู้ใช้บางคนที่แสดงความคิดเห็นเกี่ยวกับการให้คะแนนใน Play Store ก็บอกว่าถาดข้อความของพวกเขาตอนนี้เต็มไปด้วยรหัสการเข้าถึงที่ไม่ซ้ำกันสำหรับบัญชีที่พวกเขาไม่เคยสร้าง

เชื่อมต่อกับแอพอื่น ๆ ของ Play Store

เมื่อพิจารณาว่าการมีหมายเลขโทรศัพท์ที่ถูกต้องเพื่อรับรหัสแบบใช้ครั้งเดียวมักจะเป็น วิธีเดียวที่จะยืนยันการสร้างบัญชีใหม่ได้ ผู้ที่ต้องการมีส่วนร่วมในกิจกรรมที่ผิดกฎหมายหรือไม่ระบุชื่อพบว่าบัญชีเหล่านี้มีประโยชน์ ไฟล์ที่ไม่ระบุชื่อที่สร้างขึ้นโดยแอปพลิเคชันประเภทนี้

แอพ Symoo

นอกจากนี้ Maxime Ingrao ยังค้นพบว่าแอปพลิเคชัน Symoo ดึงข้อมูลจาก SMS ไปยังโดเมน gomy[dot]fun จากการตรวจสอบ VirusTotal ปรากฎว่าโดเมนนี้ถูกใช้โดยแอปชื่อ VirtualNumber ที่เปิดอยู่ Google Play ในครั้งเดียว แต่ได้ถูกลบออกจาก Play Store แล้ว

ผู้พัฒนาแอป 'Virtual Number' ได้สร้างแอปอีกแอปหนึ่งบน Google Play ชื่อว่า 'ActivationPW – Virtual Numbers' ซึ่งมีการดาวน์โหลด 10,000 ครั้ง ซึ่งมี "หมายเลขออนไลน์จากกว่า 200 ประเทศ" ที่คุณสามารถใช้สร้างบัญชีได้โดยไม่ต้องป้อน หมายเลขโทรศัพท์ของคุณ. ผู้ใช้สามารถใช้แอพนี้ “เช่า” เบอร์โทรศัพท์ ในราคาไม่ถึงหนึ่งดอลลาร์ และในหลายกรณี ให้ใช้หมายเลขนั้นเพื่อยืนยันบัญชี ดูเหมือนว่าทุกอย่างลงตัวใช่ไหม?

ในขณะที่เขียนบรรทัดเหล่านี้ แอป Symoo ยังอยู่ใน Google Play Store แม้ว่า Google จะพยายามอย่างเต็มที่ แต่ Android Play Store ก็ยังคงเป็นแหล่งเพาะมัลแวร์ทุกประเภท

แม้ว่าร้านแอปจะได้รับการตรวจสอบอย่างระมัดระวัง แต่ผู้ดูแลก็ไม่สามารถตรวจพบแอปเหล่านี้ได้เสมอก่อนที่จะเผยแพร่ แม้ว่าพวกเขาจะพยายามกำจัดภัยคุกคามโดยเร็วที่สุด แอปพลิเคชั่นนี้ได้รับการรายงานแล้ว ดังนั้นคาดว่าด้วยรายงานความปลอดภัยของ