Hackeři okrádají uživatele pomocí škodlivých SMS zpráv

by FeedIT.cz, posted in Tisková zpráva
  • V Íránu byly infikovány desítky tisíc zařízení se systémem Android, ukradeny byly miliardy íránských rijálů
  • Útočníci prodávají hrozbu na Telegramu za pouhých 50 dolarů
  • Ukradená data nebyla chráněna a byla volně přístupná online

PRAHA – 4. ledna 2022 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, varuje před novou vlnou kyberútoků na íránské obyvatele. Po útocích na železnici nebo čerpací stanice sledujeme kampaň infikující desítky tisíc zařízení pomocí speciálně vytvořené SMS zprávy, která zdánlivě vypadá jako zpráva od íránské vlády. Jakmile uživatel klikne na zaslaný odkaz a stáhne si škodlivou aplikací pro Android, dojde ke krádeži informací o kreditních kartách a také ke krádeži SMS zpráv, včetně dvoufaktorových ověřovacích kódů. Útočníci tak mohou okrádat uživatele a navíc z každého infikovaného zařízení rozesílat podvodné SMS na další kontakty. Aktuálně sice sledujeme útoky v Íránu, ale podobné kampaně hrozí kdekoliv po světě.

Útočníci využívají infikovaná zařízení jako boty a šíří pomocí nich phishingové SMS zprávy na další kontakty. Hackeři nabízí tyto útočné nástroje prostřednictvím několika kanálů na Telegramu. Za 50-150 dolarů lze koupit celý balíček, včetně škodlivé aplikace a základní infrastruktury s ovládacím panelem, který dokáže snadno spravovat i nezkušený útočník.

Krádeže miliard íránských rijálů

Check Point odhaduje, že hackeři pronikli do desítek tisíc zařízení se systémem Android, nainstalovali do nich malware a ukradli miliardy íránských rijálů. V průměru bylo dle zjištění výzkumného týmu ukradeno od jedné oběti 1000 až 2000 dolarů. Ukradená data navíc nebyla nijak chráněna a byla volně přístupná online.

Metodika útoku 

  1. Útok začíná phishingovou SMS zprávou. V mnoha případech se jedná o podvodnou zprávu z elektronického soudního systému, která oběť informuje o nově podané žalobě. SMS zpráva pak obsahuje odkaz na webovou stránku, na které lze stížnost sledovat.
  2. Webová stránka se snaží uživatele přimět ke stažení škodlivé aplikace pro Android a zadání údajů o kreditní kartě pod záminkou drobného poplatku za službu.
  3. Po instalaci škodlivá aplikace krade všechny SMS zprávy z infikovaného zařízení a umožní útočníkům používat kreditní kartu s přístupem k ověřovacím SMS zprávám.
  4. Škodlivá aplikace je propojena s řídícím a velícím (C&C) serverem a pravidelně stahuje nové příkazy. Jedním z nich je například příkaz k šíření podvodných SMS zpráv na další telefonní čísla.

Infekční řetězec

Android backdoor umí například:

  • Krást SMS: Ihned po instalaci falešné aplikace jsou všechny SMS zprávy nahrány na server útočníka.
  • Maskovat se: Jakmile jsou hackerům odeslány informace o kreditní kartě, aplikace může skrýt svou ikonu, aby nevzbudila podezření a ztížila případnou snahu o odinstalování.
  • Obejít 2FA: Útočníci, kteří mají přístup k údajům o kreditní kartě i k SMS v zařízení oběti, mohou krást finance z bankovních účtů oběti a obejít i 2FA ověřování (jednorázové heslo).
  • Chovat se jako botnet: Malware umožňuje útočníkům provádět v zařízení oběti další nebezpečné aktivity, například krást kontakty a odesílat SMS zprávy.
  • Lavinově se šířit: Aplikace může odesílat SMS zprávy na telefonní čísla dalších potenciálních obětí, která získá z C&C serveru. Útočníci tak mohou šířit phishingové zprávy z telefonních čísel běžných uživatelů a nemusí tak používat jen omezené množství čísel, která lze snadno zablokována. Čísla proto nelze jednoduše blokovat a označit za škodlivá nebo pomocí nich vystopovat útočníky.

„Kyberútoky v Íránu se dále stupňují. Sledovali jsme například útoky na železnici, čerpací stanice nebo národní leteckou společnost. Nyní přichází další fáze chaosu a ačkoli nevidíme přímou souvislost mezi novými kyberútoky a útoky na kritickou infrastrukturu, tak i tyto ‚nesofistikované‘ hrozby způsobují masivní škody. Zdá se, že hlavním motivem aktuálních kampaní je finanční zisk a podle všeho útočníci pochází přímo z Íránu,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point Software Technologies. „Kampaň překvapuje rychlostí a lavinovým šířením. Hackeři využívají techniky sociálního inženýrství a navzdory relativní technické jednoduchosti použitých nástrojů způsobují obětem velké škody. Důvodů úspěchu je několik. Zaprvé, pokud se jedná o oficiálně vypadající vládní zprávy, mají běžní občané tendenci kliknout na přiložený odkaz. Za druhé, vzhledem k botnetové povaze těchto útoků, kdy každé infikované zařízení dále šíří phishingové SMS zprávy, se kampaně lavinově šíří mezi obrovské množství potenciálních obětí. Ačkoli aktuálně jsou terčem íránští obyvatelé, podobné útoky mohou ohrožovat uživatele kdekoli na světě.“

Bezpečnostní tipy

  • Ke stahování aplikací používejte pouze oficiální obchody s aplikacemi. 
  • Používejte dvoufaktorové ověřování, nejlépe ze dvou různých zařízení. 
  • Chraňte svá mobilní zařízení stejně jako své notebooky.

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point Software Technologies:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software TechnologiesCheck Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Další tiskové zprávy