Ερευνητές ασφαλείας προειδοποιούν για ένα νέο malware που επηρεάζει Android συσκευές και ονομάζεται SMSFactory. Σύμφωνα με τις αναλύσεις, το malware αυξάνει τον λογαριασμό του τηλεφώνου στέλνοντας μηνύματα ή καλώντας σε αριθμούς premium, αριθμούς δηλαδή που χρεώνουν τον χρήστη.
Προς το παρόν, δεν είναι γνωστός ο ακριβής αριθμός των θυμάτων, αλλά έχουν καταγραφεί προσπάθειες μόλυνσης δεκάδων χιλιάδων συσκευών Android που προστατεύονται από προϊόντα ασφαλείας Avast. Μάλιστα, τα θύματα προέρχονται από τουλάχιστον οκτώ χώρες.
Το SMSFactory Android malware φαίνεται να διαθέτει πολλά κανάλια διανομής που περιλαμβάνουν malvertising, push notifications, διαφημιστικά pop-ups σε ιστότοπους και βίντεο που υπόσχονται game hacks ή πρόσβαση σε περιεχόμενο για ενήλικες.
Σύμφωνα με ερευνητές της Avast, το SMSFactory έχει στοχεύσει περισσότερους από 165.000 πελάτες Android μέσα σε ένα χρόνο (Μάιο του 2021 έως Μάιο του 2022). Τα περισσότερα θύματα βρίσκονταν στη Ρωσία, τη Βραζιλία, την Αργεντινή, την Τουρκία και την Ουκρανία.
Δείτε επίσης: Εγκαταστήστε άμεσα: Κυκλοφόρησε ενημέρωση για το σφάλμα Atlassian Confluence RCE
Στις περισσότερες περιπτώσεις, το SMSFactory Android malware στέλνει μηνύματα σε premium υπηρεσίες, φουσκώνοντας τον τηλεφωνικό λογαριασμό των θυμάτων. Ωστόσο ερευνητές της Avast παρατήρησαν μια παραλλαγή του κακόβουλου λογισμικού που μπορεί επίσης να κλέψει τη λίστα επαφών σε παραβιασμένες συσκευές, πιθανότατα για να χρησιμοποιηθεί ως άλλη μέθοδος διανομής για την απειλή.
Ο Jakub Vávra της Avast σημειώνει ότι το SMSFactory φιλοξενείται σε ανεπίσημα καταστήματα εφαρμογών. Ερευνητές της ESET βρήκαν το κακόβουλο πακέτο APK στα APKMods και PaidAPKFree, δύο Android app repositories που δεν διαθέτουν τα κατάλληλα εργαλεία και πολιτικές ασφαλείας για τα προϊόντα που εμφανίζουν.
Οι ερευνητές λένε ότι το SMSFactory APK μπορεί να έχει διαφορετικά ονόματα και όταν κάποιος προσπαθεί να το εγκαταστήσει στη συσκευή, εμφανίζεται μια προειδοποίηση από το Play Protect που ειδοποιεί σχετικά με τον πιθανό κίνδυνο από το αρχείο.
Τα δικαιώματα που ζητούνται κατά την εγκατάσταση της εφαρμογής περιλαμβάνουν: πρόσβαση σε δεδομένα τοποθεσίας, SMS, δυνατότητα πραγματοποίησης τηλεφωνικών κλήσεων και αποστολής SMS, wake lock και δόνησης, διαχείριση overlay, χρήση ολόκληρης της οθόνης, παρακολούθηση ειδοποιήσεων και έναρξη δραστηριοτήτων από το παρασκήνιο. Μια νόμιμη εφαρμογή δεν ζητάει πρόσβαση σε όλα αυτά τα δεδομένα. Τα παραπάνω κανονικά θα έπρεπε να αποτελούν σημάδια κακόβουλης δραστηριότητας, αλλά πολλοί χρήστες δεν δίνουν σημασία στα δικαιώματα που ζητούν οι εφαρμογές.
Δείτε επίσης: Η κινέζικη ομάδα LuoYu αναπτύσσει malware κυβερνοκατασκοπείας
Μόλις εγκατασταθεί, η κακόβουλη εφαρμογή εμφανίζει στο θύμα μια οθόνη με ψεύτικο περιεχόμενο σχετικά με μια υπηρεσία που δεν λειτουργεί ή είναι μη διαθέσιμη.
Η ίδια η εφαρμογή δεν έχει εκχωρημένο όνομα και μπορεί να αφαιρέσει το εικονίδιο από την οθόνη για να κάνει πιο δύσκολη την αφαίρεσή του μετά την έξοδο. Ως αποτέλεσμα, τα περισσότερα θύματα υποθέτουν ότι κάτι πήγε στραβά με την εγκατάσταση και δεν δίνουν σημασία.
Ωστόσο, το SMSFactory Android malware συνεχίζει να λειτουργεί στο παρασκήνιο, δημιουργώντας μια σύνδεση με τον command and control (C2) server και στέλνοντας ένα ID profile της μολυσμένης συσκευής.
Εάν οι επιτιθέμενοι κρίνουν ότι η συσκευή μπορεί να χρησιμοποιηθεί, στέλνουν πίσω οδηγίες και χρεώνουν το θύμα λόγω υπηρεσιών premium.
Δείτε επίσης: Ransomware συμμορία εμφανίζει τα “ransom notes” στην αρχική σελίδα των sites των θυμάτων
Σύμφωνα με τους ερευνητές, έχει εμφανιστεί και μια πιο πρόσφατη παραλλαγή του κακόβουλου λογισμικού SMSFactory που μπορεί να προσθέσει admin accounts στη συσκευή, που πιθανότατα απαιτούνται για τη διανομή SMS χρησιμοποιώντας τη λίστα επαφών.
Τρόποι προστασίας
Η εγγραφή σε premium υπηρεσίες χωρίς τη συγκατάθεση των χρηστών, μπορεί να οδηγήσει σε φουσκωμένους λογαριασμούς. Επομένως, λαμβάνοντας υπόψη και τον τρόπο διανομής του SMSFactory malware, συνιστάται λήψη εφαρμογών μόνο από αξιόπιστες πηγές και συνεχής ενημέρωση του λειτουργικού συστήματος και των εφαρμογών. Επιπλέον, η εκτέλεση τακτικών σαρώσεων μέσω του Play Protect, θα μπορούσε να ενισχύσει την ασφάλειά σας.
Πηγή: www.bleepingcomputer.com