Μια ανάλυση των υπηρεσιών επαληθευμένων λογαριασμών μέσω τηλεφώνου SMS (PVA) οδήγησε στην ανακάλυψη μιας αδίστακτης πλατφόρμας που έχει δημιουργηθεί πάνω από ένα botnet που περιλαμβάνει χιλιάδες μολυσμένα τηλέφωνα Android, υπογραμμίζοντας για άλλη μια φορά τα ελαττώματα με τη χρήση SMS για την επικύρωση λογαριασμού.
Οι υπηρεσίες SMS PVA, από τότε που επικράτησαν το 2018, παρέχουν στους χρήστες εναλλακτικούς αριθμούς κινητής τηλεφωνίας που μπορούν να χρησιμοποιηθούν για εγγραφή σε άλλες διαδικτυακές υπηρεσίες και πλατφόρμες και βοηθούν στην παράκαμψη του ελέγχου ταυτότητας που βασίζεται σε SMS και των μηχανισμών ενιαίας σύνδεσης (SSO) που έχουν τεθεί σε εφαρμογή για επαλήθευση νέους λογαριασμούς.
“Αυτός ο τύπος υπηρεσίας μπορεί να χρησιμοποιηθεί από κακόβουλους παράγοντες για την εγγραφή αναλώσιμων λογαριασμών μαζικά ή τη δημιουργία λογαριασμών επαληθευμένων μέσω τηλεφώνου για τη διεξαγωγή απάτης και άλλων εγκληματικών δραστηριοτήτων”, ανέφεραν οι ερευνητές της Trend Micro σε μια έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα.
Αυτόματα αντίγραφα ασφαλείας GitHub
Τα δεδομένα τηλεμετρίας που συγκέντρωσε η εταιρεία δείχνουν ότι οι περισσότερες μολύνσεις εντοπίζονται στην Ινδονησία (47.357), ακολουθούμενη από τη Ρωσία (16.157), την Ταϊλάνδη (11.196), την Ινδία (8.109) και τη Γαλλία (5.548), το Περού (4.915), το Μαρόκο ( 4.822), Νότια Αφρική (4.413), Ουκρανία (2.920) και Μαλαισία (2.779).
Η πλειονότητα των συσκευών που επηρεάζονται είναι οικονομικά τηλέφωνα Android που συναρμολογούνται από κατασκευαστές πρωτότυπου εξοπλισμού όπως Lava, ZTE, Mione, Meizu, Huawei, Oppo και HTC.
[su_button url=”https://itechnews.gr/2020/04/itechnews-gr-tora-pia-episima-kai-sta-google/” target=”blank” style=”bubbles” background=”#5d9e17″ color=”#ffffff” size=”10″ wide=”yes” center=”yes” radius=”20″ icon=”https://itechnews.gr/wp-content/uploads/2021/08/google_news.jpg” icon_color=”#060606″ text_shadow=”2px 2px 2px #000000″ rel=”lightbox”]Ακολουθήστε το iTechNews.gr στο Google News! Παρακολουθήστε τα τελευταία νέα, τάσεις, αξεσουάρ και παρουσιάσεις[/su_button]
Μια συγκεκριμένη υπηρεσία, με το όνομα smspva[.]net, αποτελείται από τηλέφωνα Android που έχουν μολυνθεί με κακόβουλο λογισμικό υποκλοπής SMS, το οποίο οι ερευνητές υποπτεύονται ότι θα μπορούσε να συμβεί με έναν από τους δύο τρόπους: μέσω κακόβουλου λογισμικού που κατέβασε κατά λάθος ο χρήστης ή μέσω κακόβουλου λογισμικού προεγκατεστημένο στις συσκευές. κατά την κατασκευή, που συνεπάγεται συμβιβασμό της εφοδιαστικής αλυσίδας.
Η υπόγεια υπηρεσία VPA διαφημίζει “μαζικούς εικονικούς αριθμούς τηλεφώνου” για χρήση σε διάφορες πλατφόρμες μέσω ενός API, εκτός από το ότι ισχυρίζεται ότι κατέχει αριθμούς τηλεφώνου που εκτείνονται σε περισσότερες από 100 χώρες.
Το κακόβουλο λογισμικό Guerrilla (“plug.dex”), από την πλευρά του, έχει σχεδιαστεί για να αναλύει τα μηνύματα SMS που λαμβάνονται στο επηρεαζόμενο τηλέφωνο Android, να τα ελέγχει σε σχέση με συγκεκριμένα μοτίβα αναζήτησης που λαμβάνονται από έναν απομακρυσμένο διακομιστή και, στη συνέχεια, να εξάγει τα μηνύματα που ταιριάζουν με αυτές τις εκφράσεις στον διακομιστή.
Αποτροπή παραβιάσεων δεδομένων
«Το κακόβουλο λογισμικό παραμένει χαμηλού προφίλ, συλλέγοντας μόνο τα μηνύματα κειμένου που ταιριάζουν με την αιτούμενη εφαρμογή, ώστε να μπορεί να συνεχίσει κρυφά αυτή τη δραστηριότητα για μεγάλες περιόδους», είπαν οι ερευνητές. “Εάν η υπηρεσία SMS PVA επιτρέπει στους πελάτες της να έχουν πρόσβαση σε όλα τα μηνύματα στα μολυσμένα τηλέφωνα, οι ιδιοκτήτες θα παρατηρούσαν γρήγορα το πρόβλημα.”
Καθώς οι διαδικτυακές πύλες συχνά ελέγχουν ταυτότητας νέων λογαριασμών διασταυρώνοντας την τοποθεσία (δηλ. τη διεύθυνση IP) των χρηστών έναντι των αριθμών τηλεφώνου τους κατά την εγγραφή, οι υπηρεσίες SMS PVA παρακάμπτουν αυτόν τον περιορισμό χρησιμοποιώντας οικιακούς διακομιστές μεσολάβησης και VPN για να συνδεθούν στην επιθυμητή πλατφόρμα .
Επιπλέον, αυτές οι υπηρεσίες πωλούν μόνο τους κωδικούς επιβεβαίωσης μίας χρήσης που απαιτούνται κατά την εγγραφή του λογαριασμού, με τον χειριστή botnet να χρησιμοποιεί τον στρατό των παραβιασμένων συσκευών για να λαμβάνει, να εξετάζει και να αναφέρει τους κωδικούς επαλήθευσης SMS χωρίς τη γνώση και τη συγκατάθεση των κατόχων.
Με άλλα λόγια, το botnet διευκολύνει την εύκολη πρόσβαση σε χιλιάδες αριθμούς κινητών τηλεφώνων σε διαφορετικές χώρες, επιτρέποντας ουσιαστικά στους φορείς να καταχωρούν νέους λογαριασμούς μαζικά και να τους χρησιμοποιούν για διάφορες απάτες ή ακόμη και να συμμετέχουν σε συντονισμένη μη αυθεντική συμπεριφορά χρηστών.
«Η παρουσία των υπηρεσιών SMS PVA κάνει άλλο ένα πλήγμα στην ακεραιότητα της επαλήθευσης SMS ως το κύριο μέσο επικύρωσης λογαριασμού», δήλωσαν οι ερευνητές.
“Η κλίμακα στην οποία το SMS PVA μπορεί να παρέχει αριθμούς κινητών τηλεφώνων σημαίνει ότι οι συνήθεις μέθοδοι για τη διασφάλιση της εγκυρότητας — όπως η αποκλειστική λίστα αριθμών κινητών που προηγουμένως συνδέονταν με κατάχρηση λογαριασμού ή η αναγνώριση αριθμών που ανήκουν σε υπηρεσίες VoIP ή πύλες SMS — δεν θα είναι αρκετές.”
[signoff]
