Posté le février 21, 2022 à 10:22
LES HACKERS UTILISENT DÉSORMAIS DES APPAREILS ANDROID INFECTÉS POUR ENREGISTRER DES COMPTES JETABLES
Une récente analyse des services de comptes vérifiés par téléphone (PVA) par SMS a révélé que les acteurs de menaces exploitent des appareils Android infectés pour enregistrer des comptes jetables. Cela a, une fois de plus, montré les dangers de se fier uniquement aux SMS pour la validation des comptes.
Les services SMS PVA fournissent des numéros mobiles alternatifs aux utilisateurs qui souhaitent s’inscrire sur des plateformes en ligne et d’autres services sans utiliser leur numéro de téléphone principal. Ce service s’est fait connaître en 2018. Il a également été utilisé pour contourner les systèmes d’authentification unique (SSO) et l’authentification par SMS utilisée pour vérifier les nouveaux comptes.
Selon les chercheurs de Trend Micro, le service peut être utilisé par les acteurs de la menace pour créer des comptes vérifiés par téléphone ou enregistrer des comptes jetables en masse afin de mener à bien l’acte frauduleux et d’autres activités criminelles. Les chercheurs ont averti les utilisateurs et les organisations qu’il n’est plus sûr de se fier uniquement aux systèmes basés sur les SMS pour la validation des comptes, car les cybercriminels sont capables de détourner ce processus.
L’entreprise de sécurité a recueilli des données télémétriques qui indiquent l’emplacement de la majorité des utilisateurs touchés. Selon les chercheurs, 2 779 systèmes ont été affectés en Malaisie, 2 920 en Ukraine, 4 213 en Afrique du Sud et 4 915 au Pérou. Mais les principales régions touchées sont la France (5 548), la Thaïlande (11 196), la Russie (16 157) et l’Indonésie avec 47 357 infections.
Les chercheurs ont également noté que la majorité des appareils touchés sont des téléphones Android bon marché assemblés par leurs fabricants d’origine. Il s’agit notamment de HTC, Meizu, Oppo, Huawei, Mione, Lava et ZRE.
L’infection s’est produite de deux façons
La société de sécurité a déclaré qu’un service particulier, appelé smspva[.]net, a infecté des téléphones Android avec un logiciel malveillant basé sur les SMS. La société a déclaré que l’attaque a pu se produire de deux façons. Elle a pu se produire par le biais d’un logiciel malveillant préchargé dans l’appareil ou par un logiciel malveillant téléchargé accidentellement par l’utilisateur.
La première méthode implique une méthode d’attaque par chaîne d’approvisionnement, qui est devenue de plus en plus une méthode d’attaque populaire déployée par les acteurs de la menace ces derniers mois.
De plus, les services VPA du darknet font régulièrement de la publicité pour des « numéros de téléphone virtuels en vrac » destinés aux hackers. Il ne sera donc pas difficile pour les acteurs de la menace de mettre la main sur ces faux numéros de téléphone. Ces plates-formes affirment disposer de milliers de numéros de téléphone répartis dans 100 pays, ce qui donne aux hackers de nombreuses options pour choisir la région géographique où ils souhaitent lancer leurs attaques.
Pour sa part, le logiciel malveillant Guerrilla est conçu pour analyser les messages SMS envoyés aux téléphones Android concernés. Il examine également les différents modèles de recherche délivrés par un serveur distant avant d’exfiltrer les messages comportant les mêmes termes vers le serveur de contrôle.
Le logiciel malveillant peut rester caché pendant une longue période
Un autre problème que les chercheurs ont remarqué à propos du logiciel malveillant Guerrilla est sa capacité à rester caché tout en menant ses activités.
Le logiciel malveillant reste toujours discret et ne récupère que les messages texte contenant les termes demandés. Selon les chercheurs, cela permet au logiciel malveillant de rester caché pendant une longue période tout en poursuivant ses activités. Mais l’utilisateur peut découvrir le problème si le service SMS PVA permet à tous ses clients d’avoir accès à tous les messages sur les appareils infectés.
Les portails en ligne authentifiant souvent les nouveaux comptes en recoupant l’emplacement (c’est-à-dire l’adresse IP) des utilisateurs avec leur numéro de téléphone lors de l’inscription, les services SMS PVA contournent cette restriction en utilisant des proxys et des VPN résidentiels pour se connecter à la plateforme souhaitée.
Le logiciel malveillant permet d’accéder facilement à des milliers de téléphones portables
En outre, les services sont conçus de manière à ce que le code de confirmation unique soit envoyé une seule fois lors de l’enregistrement du compte. Cela donne à l’opérateur du logiciel malveillant la possibilité de récupérer, d’examiner et de signaler les codes de vérification SMS sur les appareils compromis à l’insu de l’utilisateur. Cela signifie que le propriétaire des appareils infectés peut utiliser le téléphone et poursuivre ses activités normales sans détecter aucun problème pendant longtemps.
Le logiciel malveillant offre un accès facile à des milliers de téléphones portables dans différents pays, ce qui permet aux hackers d’enregistrer de nouveaux comptes en grand nombre. Une fois les comptes enregistrés, ils peuvent être utilisés pour différents types de fraudes, notamment des attaques de phishing et la participation à un comportement coordonné d’utilisateur inauthentique.
Ce dernier développement crée un nouveau revers pour l’utilisation de la vérification par SMS comme principal moyen de vérification des comptes. Selon les chercheurs, l’émergence des services SMS PVA et le rythme élevé auquel ils fournissent des numéros de téléphone mobile vont poser de nombreux problèmes pour en assurer la validité.
