Autor: JAKUB VÁVRA
Avast śledzi szeroko rozpowszechnioną kampanię złośliwego oprogramowania typu TrojanSMS, który nazywamy „SMSFactory”. Trojan tej kategorii podstępnie wysysa pieniądze od ofiar z całego świata, m.in. z Rosji, Brazylii, Argentyny, Turcji, Ukrainy, USA, Francji i Hiszpanii, wysyłając SMS-y i wywołując połączenia o podwyższonej opłacie.
Spis treści
- Avast w ciągu roku uchronił przed tym zagrożeniem ponad 165 000 osób na całym świecie.
- Po cichu wysyłam $ignals
- Gotowy czy nie, nadchodzą opłaty!
- Różne wersje fabryczne
- Co wyróżnia SMSFactory
- Użytkownicy, których dotyczy problem
- Wskazówki, jak unikać mobilnego złośliwego oprogramowania, takiego jak SMSFactory
Avast w ciągu roku uchronił przed tym zagrożeniem ponad 165 000 osób na całym świecie.
Wybrane numery wydają się być częścią schematu konwersji, w którym SMS zawiera numer konta, określający, kto powinien otrzymać pieniądze za wysłane wiadomości. Nie wykryty, może nabić wysoki rachunek telefoniczny, do 7 USD tygodniowo lub 336 USD rocznie, pozostawiając ofiarom nieprzyjemną niespodziankę. Jedna z znalezionych przez nas wersji jest również zdolna do wyodrębniania list kontaktów ofiar, co może prowadzić do dalszego rozprzestrzeniania szkodliwego oprogramowania.
Nazwaliśmy złośliwe oprogramowanie SMSFactory ze względu na jego funkcje, a także nazwy klas w jego kodzie, z których jedna nazywa się SMSFactory.
Z moich badań wynika, że złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem złośliwych reklam (malvertising), powiadomień push i alertów wyświetlanych na stronach oferujących hacki do gier, treści dla dorosłych lub bezpłatne witryny do strumieniowego przesyłania wideo, które służą do rozpowszechniania złośliwego oprogramowania podszywającego się pod aplikację, w której użytkownicy mogą uzyskać dostęp do gier, filmów lub treść dla dorosłych. Po zainstalowaniu złośliwe oprogramowanie ukrywa się, co sprawia, że ofiary są prawie niemożliwe do wykrycia, co powoduje obciążenia na rachunkach telefonicznych.
Utworzono szereg stron internetowych w celu rozprzestrzeniania się i zdalnej kontroli szkodliwego oprogramowania. Avast ochronił ponad 165 000 użytkowników Avast z SMSFactory w ubiegłym roku (maj 2021-maj 2022), przy czym największa liczba użytkowników była chroniona w Rosji, Brazylii, Argentynie, Turcji i na Ukrainie.
Po cichu wysyłam $ignals
Źli aktorzy stojący za SMSFactory polegają na malvertisingu, aby prowadzić swoją kampanię. Malvertising odnosi się do nadużywania reklam w celu przekierowywania użytkowników na strony zawierające szkodliwe oprogramowanie i często może pojawiać się w witrynach oferujących bezpłatne strumieniowe przesyłanie filmów i programów telewizyjnych, treści dla dorosłych lub agregatorów torrentów, ale czasami może pojawiać się również w witrynach głównego nurtu.
Przekierowanie w tym przypadku prowadzi do strony takiej jak ta na poniższym zrzucie ekranu. Użytkownik jest proszony o pobranie pliku przypominającego witrynę, z której użytkownik został przekierowany. Może to być na przykład aplikacja do hackowania gier, aplikacja do treści dla dorosłych, bezpłatna aplikacja do przesyłania strumieniowego wideo lub podobna.
Przekierowanie landingpage z dynamiczną nazwą widoczną w prawym górnym rogu
Przykłady różnych nazw dla tej samej aplikacji SMSFactory
Gdy użytkownik kliknie Pobierz, złośliwa aplikacja zostanie pobrana. Ponieważ pochodzi ze źródła zewnętrznego, witryna prosi użytkownika o zignorowanie wbudowanego ostrzeżenia Play Protect systemu Android i kontynuowanie instalacji.
Zrzuty ekranu pokazujące, jak SMSFactory prosi użytkownika o wyłączenie/zignorowanie Play Protect w celu zainstalowania złośliwego oprogramowania
Po zainstalowaniu użytkownik otrzymuje ekran powitalny. Kliknięcie akceptuj aktywuje złośliwe zachowanie aplikacji. Następnie aplikacja przedstawia użytkownikowi podstawowe menu z filmami, treściami dla dorosłych i grami, które przez większość czasu nie działają lub są niedostępne.
Przykład aplikacji SMSFactory po instalacji
Gotowy czy nie, nadchodzą opłaty!
SMSFactory wykorzystuje kilka sztuczek, aby pozostać na urządzeniu ofiary i pozostać niewykrytym. Ma pustą ikonę i jest w stanie ukryć swoją obecność przed użytkownikiem, usuwając ikonę aplikacji z ekranu głównego. Ponadto nie ma nazwy aplikacji, co utrudnia użytkownikowi wykrycie aplikacji naruszającej zasady i jej usunięcie. Oczywiste jest, że złośliwe oprogramowanie polega na tym, że użytkownik zapomina o aplikacji na swoim telefonie.
Pusta ikona i brak nazwy aplikacji służą do ukrycia aplikacji
Po ukryciu złośliwe oprogramowanie komunikuje się z wcześniej ustawioną domeną. Wysyła unikalny identyfikator przypisany do urządzenia, jego lokalizacji, numeru telefonu, informacji o operatorze i modelu telefonu. Jeśli aktorzy stojący za tą kampanią uznają urządzenie ofiary za użyteczne, domena odsyła instrukcje do urządzenia. Będzie to albo lista numerów telefonów, na które szkodliwe oprogramowanie będzie wysyłać SMSy o podwyższonej opłacie, albo konkretny numer, pod który aplikacja będzie próbowała się połączyć.
Oba będą skutkować nadmiernymi opłatami dla ofiary. Dokładna kwota zależy od polecenia wysłanego przez aktorów stojących za SMSFactory — w naszych testach widzieliśmy dzienną opłatę w wysokości 1 USD za dziesięć wysłanych wiadomości SMS, która może osiągnąć nawet 28 USD miesięcznie. Zakładając, że ofiary nie zauważą lub nie zapomną, że aplikacja jest zainstalowana, może to skutkować wygórowanym rachunkiem telefonicznym.
Część uprawnień używanych przez SMSFactory: uprawnienia SMS/MMS oraz CALL_PHONE służą do wyprowadzania pieniędzy od ofiar poprzez wysyłanie wiadomości i wykonywanie połączeń na numery o podwyższonej opłacie
Ze względu na charakter złośliwego oprogramowania użytkownik może nie zdawać sobie sprawy z poniesionych strat finansowych, dopóki nie otrzyma rachunku telefonicznego. SMSFactory może w międzyczasie naliczyć znaczne opłaty, a użytkownikowi może być trudno zidentyfikować winowajcę z powodu ukrywania się aplikacji.
Różne wersje fabryczne
Wygląda na to, że SMSFactory ma kilka różnych wersji z dodatkowymi funkcjami, które pojawiły się wraz z ostatnią kampanią. Jedna taka odmiana może utworzyć nowe konto administratora na urządzeniu z Androidem, co potencjalnie utrudni usunięcie. Inny wariant kopiuje listę kontaktów ofiary i wyodrębnia ją, prawdopodobnie wykorzystaną do dalszego rozprzestrzeniania się szkodliwego oprogramowania. Niektóre wersje przekierowują użytkowników do witryn, aby skłonić ich do zainstalowania innej aplikacji SMSFactory na swoim urządzeniu.
Tylko kilka próbek SMSFactory zawiera krótką stronę „Warunki”
Istnieją również wizualne różnice między tymi wersjami SMSFactory. Starsze wersje, które udawały hacki do gier, miały ikonę, podczas gdy nowsze wersje całkowicie usuwały ikonę i nazwę aplikacji. Warunki na powyższym zrzucie ekranu, wspominające o SMS-ach/połączeniach premium w tle, są obecne tylko w jednej wersji złośliwego oprogramowania, które znalazłem, inne wersje w ogóle nie zawierają tych informacji.
Co wyróżnia SMSFactory
W przeciwieństwie do ostatnich kampanii TrojanSMS, takich jak UltimaSMS czy Grifthorse, wektor rozprzestrzeniania SMSFactory znacznie się różni. Jego ukryte funkcje, takie jak brak ikony i nazwy aplikacji, nie byłyby dozwolone w sklepie Google Play, dlatego źli aktorzy uciekają się do dość skomplikowanej sieci witryn w celu dostarczania i późniejszej komunikacji ze złośliwym oprogramowaniem.
Innym odstępstwem jest ekran wprowadzający, który nie wymaga wprowadzania numeru telefonu, aby zainicjować funkcje szkodliwego oprogramowania, w przeciwieństwie do wcześniejszego płatnego szkodliwego oprogramowania SMS. Podczas gdy poprzednie kampanie trojanów SMS subskrybowały ofiarę do usług premium, SMSFactory po prostu wysyła serię SMS-ów na numery premium, aby wyłuskać pieniądze.
Użytkownicy, których dotyczy problem
Pomimo braku obecności w Sklepie Play, według naszych danych, tylko w zeszłym roku ochroniliśmy przed złośliwym oprogramowaniem ponad 165 000 użytkowników Avast. Jak dowodzi duża liczba użytkowników, których to dotyczy, w połączeniu z nowymi wersjami, które pojawiły się ostatnio, można śmiało powiedzieć, że SMSFactory jest aktywnym złośliwym oprogramowaniem i prawdopodobnie będzie nadal się rozprzestrzeniać.
Mapa pokazująca liczbę użytkowników Avast chronionych przed SMSFactory w ostatnim roku (maj 2021 – maj 2022)
Jak widać na powyższej mapie, regiony, w których chroniliśmy najwięcej użytkowników Avast przed SMSFactory w ciągu ostatniego roku, znajdują się w Rosji, Brazylii, Argentynie, Turcji i na Ukrainie. Wygląda na to, że SMSFactory nie jest ukierunkowany na konkretny region lub kraj, jego celem jest rozprzestrzenianie się na jak najwięcej urządzeń.
Wskazówki, jak unikać mobilnego złośliwego oprogramowania, takiego jak SMSFactory
- Trzymaj się oficjalnych sklepów z aplikacjami. SMSFactory podkreśla znaczenie korzystania ze zweryfikowanych sklepów z aplikacjami do instalowania aplikacji. Sklepy innych firm lub nieznane źródła mogą zawierać złośliwe oprogramowanie i nie są blokowane przez organ, taki jak Google.
- Zainstaluj program antywirusowy na swoim urządzeniu mobilnym. Jest to szczególnie ważne, jeśli chcesz instalować aplikacje z nieoficjalnych źródeł. W ten sposób możesz również być chroniony przed złośliwymi witrynami. Antywirus działa jak siatka bezpieczeństwa, chroniąc nawet najbardziej ostrożnych użytkowników.
- Zachowaj czujność. Ważne jest, aby zachować ostrożność podczas pobierania nowych aplikacji, zwłaszcza aplikacji reklamowanych w krótkich i chwytliwych filmach lub poprzez powiadomienia push w przeglądarce.
- Wyłącz lub ogranicz SMS-y premium u swojego operatora. Chociaż istnieją uzasadnione zastosowania SMS-ów premium, niedawne kampanie złośliwego oprogramowania SMS podkreślają znaczenie kontroli nad potencjalnymi opłatami w umowie telefonicznej użytkownika. Wyłączenie funkcji premium SMS lub przynajmniej ustawienie limitu znacząco neguje potencjalny wpływ kampanii TrojanSMS. Ten krok jest szczególnie ważny w telefonach dziecięcych.
Chcieć wiedzieć więcej? Zapoznaj się z listą IOCs SMSFactory.
Materiał przygotowany przez CORE - Norton, Avast i AVG w Polsce
