Zimperium 公司的研究员发现了这一攻击活动并自从2022年2月开始进行追踪。研究员发现至少存在与该活动相关联的10.7万个唯一的恶意软件样本。网络犯罪分子受经济利益驱动，可能将受感染设备用作认证和匿名化中继。

Telegram 诱骗

该SMS窃取器或者通过恶意广告或通过自动化与受害者通信的 Telegram 机器人进行分发。

在恶意广告分发场景中，受害者被诱骗至模拟 Google Play 的页面，报告过高的下载量，增加合法性并创建虚假的信任感。而在 Telegram 诱骗中，机器人承诺为用户提供适用于安卓的盗版应用，在分享APK文件前要求用户提供电话号码。Telegram 机器人使用该电话号码生成一个新的APK，为后续个性化追踪或未来的攻击做准备。

Zimperium 公司表示，该攻击利用2600个 Telegram 机器人来推广多种安卓APK，而它们实际由13个C2服务器控制。该攻击的多数受害者位于印度和俄罗斯，不过巴西、墨西哥和美国也有不少受害者。

牟取金钱

Zimperium 公司发现，该恶意软件将捕获的SMS信息传输至位于该网站 “fastsms.su” 的某个特定的API端点。该网站可使访客购买位于外国的“虚拟”电话号码，以用于匿名化并用于在线平台和服务认证。

这些受感染的设备很有可能是在受害者不知情的情况下被该服务所利用。攻击者所请求的安卓SMS访问权限可使该恶意软件捕获用于账号注册和双因素认证的一次性2FA密码。

BleepingComputer 已联系 Fast SMS 服务询问关于 Zimperium 研究成果的问题，但截止目前并未收到任何回应。对于受害者而言，这可导致其手机账号遭越权访问，也可能导致其设备和电话号码牵涉到非法活动中。为防止电话号码遭滥用，用户应避免从 Google Play 以外的地方下载 APK 文件，不要向应用提供不相关功能的具有风险的权限，并确保 Play Protect 在设备上已启用。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~