新的短信窃取程序警报！大规模活动针对全球Android用户。此次活动的范围令人震惊，迄今为止已发现超过107000个恶意软件样本。了解欺骗性应用程序如何窃取您的数据以及如何保护您的手机！

Zimperium研究人员发现了一个名为SMS Stealer的大规模短信窃取活动，该活动针对全球Android用户。这一恶意活动利用欺骗性应用程序渗透用户设备并窃取敏感个人信息。

自2022年2月以来，Zimperium的zLabs发现并跟踪了这一活动，其范围令人震惊，迄今已发现超过107000个恶意软件样本。

攻击者使用了欺骗手段，包括恶意广告和Telegram机器人，诱骗受害者点击恶意链接或下载侧载应用程序。

根据Zimperium的博客文章，目标设备通过点击恶意网络链接并在搜索非官方或免费的Android应用程序时与Telegram机器人交互而受到感染。该恶意软件可能会伪装成合法应用程序，冒充流行的实用程序、游戏甚至金融服务，诱骗用户安装它们。

研究人员在他们分析的一个样本中发现了一个开发良好的C&C平台，该平台具有用户定义的地理选择。进一步的探索发现，该平台使用各种技术与受害者建立C&C通道。早期版本使用Firebase，在后期版本中，使用GitHub存储库等替代方法来共享C&C详细信息。恶意软件还在GitHub上分发恶意APK，大多数C&C服务器都使用Laravel框架。

根据Zimperium的研究，超过95%的恶意软件样本是未知或不可用的，受影响的全球品牌超过600个。约4000个样本包含预先嵌入在Android套件中的电话号码。13个C&C服务器可能用于接收被盗的短信。超过2600个Telegram机器人与该活动有关。

一旦安装，恶意软件就会拦截传入的短信，从而允许攻击者窃取通过短信收到的验证码、登录凭据和一次性密码(OTP)等敏感信息。

一次性密码(OTP)对于在线安全至关重要，但它们对攻击者也很有价值，因为通过移动恶意软件和巧妙的策略，可以窃取这些代码并绕过其保护，从而恶意渗透到公司网络和数据中。

被盗信息随后被泄露到攻击者的服务器，使他们能够劫持用户帐户、窃取身份或进行金融欺诈。

研究人员指出：“这些被盗凭证成为进一步欺诈活动的跳板，例如在流行服务上创建虚假账户以发起网络钓鱼活动或社会工程攻击。”

虽然确切的归属仍不得而知，但其广泛性和所采用的复杂技术表明该组织拥有大量资源和技术专长。研究人员发现fastsms.su与恶意软件样本之间存在联系，从而确定了该活动背后的经济动机。

Qualys威胁研究中心网络威胁主管Ken Dunham对这一新进展发表评论称， “不良行为者对手机入侵越来越感兴趣，他们试图入侵防御薄弱的一次性密码账户和其他可通过短信恶意软件窃取的敏感信息。”

Ken解释道：“短信中越来越多地包含大量敏感信息，这些信息可用于安全身份验证以及勒索受害者。短信恶意软件与其他身份访问代理数据结合后，就变成了一种有毒混合物，被老练的对手视为目标。”

为了保护自己，请从可信来源下载应用程序，警惕未经请求的短信，并对敦促立即采取行动的信息保持怀疑态度。