Бесплатно Экспресс-аудит сайта:

17.02.2022

Сервис SMS PVA использует скомпрометированные Android-телефоны

За последние два года увеличилось количество SMS-сервисов с подтверждением учетной записи по телефону (Phone-Verified Account, PVA). Службы SMS PVA предоставляют альтернативные мобильные номера, которые клиенты могут использовать для регистрации в online-сервисах и платформах. Однако подобные сервисы также любят использовать злоумышленники для регистрации большого количества одноразовых учетных записей или создания учетных записей с подтвержденным телефоном для осуществления преступной деятельности.

Специалисты из компании Trend Micro провели анализ сервисов провайдера SMS PVA и обнаружили свидетельства того, что возможности операций SMS PVA основаны на телефонах под управлением Android, зараженных вредоносным ПО для перехвата SMS-сообщений.

Эксперты проверили API URL-адресов и самого web-сайта. Имя API и функциональность smspva[.]net уникальны, но существует еще один ресурс, очень похожий на легитимный сайт. Smspva[.]net и sm.enjoynut[.]cn имеют одинаковые страницы входа с одинаковым логотипом, а также документацию по API. Соединение Enjoynut[.]cn является важной точкой опоры, поскольку домен используется несколькими вариантами вредоносных программ для Android.

Файл DEX представляет собой файл с sha1 e83ec56dfb094fb87b57b67449d23a18208d3091 и определяется как вариант вредоносного ПО AndroidOS_Guerilla. DEX-файл предназначен для перехвата SMS-сообщений на зараженном Android-телефоне, проверки их на соответствие правилам регулярных выражений и отправки командному серверу.

С помощью фрагментов кода и трафика командного сервера эксперты смогли идентифицировать еще два DEX-файла с той же функциональностью, но разными командными серверами. Это указывает на активный процесс разработки и наличие нескольких версий как кода разработки, так и производственного кода вредоносного ПО для Android.

Злоумышленники с учетными записями SMS PVA могут манипулировать «подлинным поведением пользователя» на определенных платформах. Платформа может понести повышенные расходы из-за мошеннических кампаний. Поскольку скомпрометированные номера мобильных телефонов, которые они используют, привязаны к реальным людям, расследования правоохранительных органов в отношении их учетных записей будут направлены на ложную цель.

Скоординированное недостоверное поведение часто используется для распространения и усиления информации (часто дезинформации) в социальных сетях. Преступники достигают подобных целей быстро и с необходимой точностью, используя службы SMS PVA. Крупные мошеннические кампании могут использоваться для манипулирования общественным мнением о брендах, услугах, политических взглядах или государственных программах.

Некоторые сервисы SMS PVA насчитывают тысячи скомпрометированных смартфонов в разных странах.

Работа службы SMS PVA не только показывает некорректность и недостаточность однократной проверки SMS как основного средства подтверждения пользователя, но также подчеркивает необходимость повышения безопасности и конфиденциальности мобильных устройств. Вредоносное ПО, заражающее телефоны, может быть непреднамеренно загружено пользователями или может указать на проблему в безопасности цепочки поставок.