Una preoccupante campagna di cyberattacco sta colpendo dispositivi Android in tutto il mondo, sfruttando migliaia di bot Telegram per diffondere malware in grado di rubare SMS e password a utilizzo unico per l’autenticazione da oltre 600 servizi online. Questa operazione, scoperta dai ricercatori di Zimperium, porta alla luce un articolato schema di frode che sfrutta metodi innovativi per infiltrarsi nei dispositivi degli utenti.
I ricercatori di Zimperium hanno avviato le loro indagini su questa operazione già a partire da febbraio 2022. Le loro analisi hanno rivelato la presenza di almeno 107.000 campioni distinti di malware riconducibili a questa campagna, che si fonda su un obiettivo chiaro: il guadagno finanziario. L’operato dei criminali informatici appare volto a utilizzare i dispositivi infettati come relè di autenticazione e anonimizzazione, permettendo loro di infiltrarsi in sistemi di pagamento e accesso a servizi sensibili.
Questa campagna malevola non solo mira a rubare informazioni, ma anche a generare profitti a lungo termine per i suoi autori. Tutto ciò rappresenta una minaccia non solo per la sicurezza individuale degli utenti, ma anche per la sicurezza di intere piattaforme online che potrebbero essere coinvolte nel transito di dati rubati.
L’infezione avviene attraverso due principali metodologie: il malvertising e i bot di Telegram. Nel primo caso, le vittime vengono dirette verso pagine ingannevoli che riproducono l’aspetto di Google Play, vantando contatori di download gonfiati per aggiungere un senso di legittimità. Questo sistema di truffa permette agli hacker di attirare le vittime e convincerle a scaricare le applicazioni infette.
Nel secondo caso, i bot di Telegram svolgono un ruolo cruciale. Questi bot promettono di fornire applicazioni piratate per la piattaforma Android, chiedendo agli utenti di inserire il proprio numero di telefono prima di ricevere il file APK. Utilizzando il numero fornito, il bot genera un APK personalizzato, consentendo ai criminali di tracciare il dispositivo e progettare attacchi futuri.
Zimperium ha rivelato che l’operazione utilizza circa 2.600 bot di Telegram per promuovere diverse varianti di APK per Android, gestiti in coordinazione da 13 server di comando e controllo. La maggior parte delle vittime si trova in India e Russia, ma anche paesi come Brasile, Messico e Stati Uniti registrano un numero considerevole di attacchi.
La situazione per i consumatori infetti è grave, poiché il malware riesce a trasmettere i messaggi SMS rubati a un preciso endpoint API sul sito ‘fastsms.su‘. Tale piattaforma permette agli utenti di acquistare accesso a numeri di telefono “virtuali” in vari paesi, utilizzabili per anonimizzare e autenticarsi su piattaforme online. Questo sfruttamento avviene senza che le vittime ne siano a conoscenza, aumentando il rischio di spese non autorizzate sui loro conti telefonici e potenzialmente coinvolgendo i distratti in attività illegali.
Per evitare di cadere in queste trappole, è fondamentale seguire alcune regole di base. Si consiglia vivamente di non scaricare file APK da fonti esterne a Google Play e di non concedere permessi rischiosi a applicazioni che non presentano funzionalità correlate. Inoltre, è importante garantire che il sistema di protezione Google Play Protect sia attivo sui propri dispositivi, in modo da avere un ulteriore livello di sicurezza contro potenziali malware.
La crescente minaccia di questi attacchi sottolinea la necessità di una maggiore consapevolezza tra gli utenti di smartphone e tablet. I criminali informatici si stanno incessantemente evolvendo e migliorando le loro tecniche, rendendo necessario che ognuno prenda precauzioni per tutelare le proprie informazioni personali.