Theo Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an TP. Đà Nẵng, thủ đoạn được các đối tượng sử dụng là dùng hàng nghìn bot Telegram để thực hiện lây nhiễm phần mềm độc hại nhằm đánh cắp tin nhắn SMS cũng như đánh cắp mật khẩu xác thực 2FA một lần (OTP) trên các thiết Android cho hơn 600 dịch vụ.
Các nhà nghiên cứu tại Zimperium đã phát hiện ra chiến dịch này và tiến hành theo dõi nó từ tháng 2.2022 đến nay. Họ báo cáo rằng đã phát hiện ít nhất 107.000 mẫu mã độc khác nhau có liên quan đến chiến dịch nêu trên.
Cũng theo cơ quan công an, phần mềm đánh cắp SMS được phát tán thông qua những phần mềm, dịch vụ quảng cáo độc hại hoặc bot Telegram tự động liên lạc, nhắn tin với nạn nhân.
Ban đầu, nạn nhân sẽ được dẫn đến các trang giả mạo Google Play Store (được báo cáo số lượt tải xuống rất cáo để tăng tính hợp pháp và tạo cảm giác tin tưởng đối với nạn nhân).
Trên Telegram, các bot sẽ tự động nhắn tin hứa hẹn sẽ cung cấp cho người dùng một tệp ứng dụng "lậu" APK và yêu cầu người dùng cung cấp số điện thoại trước khi chia sẻ tập tin. Sau đó, bot Telegram sẽ sử dụng số điện thoại được cung cấp để tạo tập tin APKs mới, từ đó có thể theo dõi SMS trên điện thoại của nạn nhân hoặc "nằm im" để chờ thực hiện các cuộc tấn công tiềm năng trong tương lai.
"Zimperium cho biết chiến dịch này sử dụng khoảng 2600 bot Telegram để quảng bá nhiều tập tin APKs khác nhau, được điều khiển bởi 13 máy chủ định tuyến, điều khiển và kiểm soát hoạt động (Command and Control Server). Nạn nhân của chiến dịch tính đến thời điểm hiện tại được thống kê ở hơn 113 quốc gia khác nhau, đặc biệt là những quốc gia mà người dùng Android thường xuyên tìm kiếm và sử dụng những phần mềm lậu, cracked...", Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao TP. Đà Nẵng cho hay.
Nghiên cứu của Zimperium đã phát hiện mã độc này đã gửi những tin nhắn SMS thu thập được trên thiết bị nạn nhân đến một API đích tại trang web "fastsms.su". Đây là trang web cho phép người truy cập mua quyền truy cập vào "số điện thoại ảo" ở nước ngoài và sử dụng những số điện thoại này để ẩn danh và xác thực với các nền tảng và dịch vụ trực tuyến.
Chính vì vậy, những thiết bị Android bị nhiễm mã độc nói trên có thể đã được đăng ký sử dụng dịch vụ tại trang web này mà nạn nhân không hề hay biết. Quyền truy cập SMS trên Android được yêu cầu cho phép mã độc lấy được mã OTP cần thiết để đăng ký tài khoản và thực hiện xác thực 2 yếu tố (2FA).
Nạn nhân có khả năng sẽ bị thu phí dịch vụ SMS trái phép, đồng thời có thể bị liên lụy đến những hoạt động bất hợp pháp trên không gian mạng có liên quan đến thiết bị Android và số điện thoại của họ.
Vì vậy, nhằm tránh việc bị lây nhiễm mã độc nêu trên cũng như những mã độc khác trên hệ điều hành Android, cơ quan an ninh mạng lưu ý người dùng hạn chế tối đa hoặc không bao giờ tải xuống những tập tin APKs từ bên ngoài ứng dụng Google Play Store (Cửa hàng Google Play - CHPlay). Đặc biệt, người dùng không cấp những quyền rủi ro cao cho những ứng dụng có chức năng không liên quan. Bảo đảm rằng chế độ Play Protect được bật trên thiết thiết bị Android.
