Redazione RHC : 1 Agosto 2024 09:23
Gli specialisti di Zimperium hanno scoperto una campagna dannosa che prende di mira i dispositivi Android in tutto il mondo. Gli aggressori utilizzano migliaia di bot di Telegram per infettare i dispositivi con malware che rubano SMS e password monouso per l’autenticazione a due fattori da oltre 600 servizi.
I ricercatori affermano che stanno monitorando questa attività fino a febbraio 2022. Secondo loro, a questa campagna sarebbero associati almeno 107.000 diversi campioni di malware. La maggior parte delle vittime si trova in India e Russia, ma molte vittime sono state trovate anche in Brasile, Messico e Stati Uniti. In totale, gli utenti di 113 paesi in tutto il mondo sono stati colpiti da questa minaccia.
A quanto pare, gli operatori di malware perseguono guadagni finanziari e utilizzano i dispositivi infetti come relè per l’autenticazione e l’anonimizzazione. Il malware per il furto di SMS viene distribuito tramite pubblicità dannosa o tramite bot di Telegram che automatizzano la comunicazione con l’utente.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Quindi, nel primo caso, le vittime seguono link pubblicitari a pagine che imitano il Google Play Store, dove vedono un numero gonfiato di download dell’applicazione, il che dovrebbe creare l’apparenza della sua legittimità e sicurezza.
Nel secondo caso, i bot di Telegram promettono di fornire alle vittime un’app Android piratata, ma chiedono il loro numero di telefono prima di condividere il file APK. Di conseguenza, il bot utilizza il numero ricevuto per creare un nuovo APK, che gli consente di tracciare personalmente l’utente ed effettuare altri attacchi.
Sul dispositivo della vittima, il malware richiede l’autorizzazione per accedere agli SMS, che gli consentono di intercettare le password monouso necessarie per la registrazione dell’account e l’autenticazione a due fattori.
In totale vengono utilizzati circa 2.600 bot di Telegram per promuovere diversi APK, controllati da 13 server di controllo.
I ricercatori hanno scoperto che il malware finisce per trasmettere i messaggi SMS intercettati a uno specifico endpoint API sul sito web fastsms[.]su.
Questo sito offre ai visitatori la possibilità di acquistare l’accesso a numeri di telefono virtuali in paesi stranieri. Tali numeri possono essere utilizzati per l’anonimizzazione e l’autenticazione su varie piattaforme e servizi online. Di conseguenza Zimperium è giunto alla conclusione che i dispositivi infetti vengono utilizzati da questo servizio all’insaputa dei loro proprietari.
Oggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattafor...
Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubbli...
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006