Kampanye ‘Smishing’ yang Meluas Menipu Pengguna Android Iran

Attackers meniru pemerintah Iran dalam kampanye phishing SMS yang tersebar luas yang menipu ribuan pengguna Android dengan memasang malware di perangkat mereka yang dapat mencuri data kartu kredit mereka dan menyedot uang dari rekening keuangan.

Peneliti dari Check Point Research memperkirakan bahwa kampanye tersebut, yang mengirim pesan yang disebut “smishing” yang membujuk korban untuk mengunjungi situs web jahat, telah merusak puluhan ribu perangkat. Hal ini mengakibatkan pencurian miliaran rial Iran (atau ratusan ribu dolar AS), kata mereka dalam sebuah laporan yang diterbitkan Rabu. perangkat untuk memikat mereka ke situs web berbahaya, kata para peneliti. Di sana mereka diminta untuk memasukkan info akun sementara malware Android secara diam-diam memasang pintu belakang pada perangkat.

Apa yang mengesankan tentang kampanye ini adalah kemampuannya dari penyerang untuk menipu begitu banyak orang dengan begitu banyak uang, kata para peneliti.

“Yang perlu diperhatikan tentang arus ini kampanye adalah skala serangan belaka,” tulis mereka dalam laporan itu, menambahkan bahwa “jumlah korban yang belum pernah terjadi sebelumnya” telah berbagi cerita serupa di jejaring sosial tentang bagaimana rekening bank mereka dikuras oleh penjahat dunia maya.

Backdoor Capabilities

Malware dikirim ke target melalui situs jahat memiliki sejumlah kemampuan pintu belakang yang memungkinkan penyerang mencuri uang dari akun orang, mempertahankan kegigihan pada perangkat mereka, dan memungkinkan penyerang mengambil alih fungsionalitas perangkat, para peneliti melaporkan.

Malware segera mencuri semua pesan SMS korban ke sebuah perintah -dan-kontrol (C2) server; dengan jenis akses data ini, penyerang kemudian dapat melewati otentikasi dua faktor (2FA) pada akun keuangan dan melakukan penarikan akun yang tidak sah, kata peneliti.

Aplikasi ini juga menyembunyikan ikonnya di perangkat, sehingga menyulitkan orang untuk menghapus atau mengontrol aplikasi. Pintu belakang kemudian dapat mempertahankan kegigihan dan menggunakan kemampuan botnetnya, berkomunikasi dengan server C2 melalui Firebase Cloud Messaging untuk memungkinkan penyerang menjalankan perintah tambahan pada perangkat korban. Ini dapat mencakup mencuri kontak dan mengirim pesan SMS, kata peneliti.

Malware ini juga memiliki komponen yang dapat dicairkan. Itu dapat memperluas permukaan serangan kampanye dengan mengirim pesan SMS ke daftar calon korban menggunakan pesan khusus dan daftar nomor telepon yang diambil dari server C2, kata para peneliti. Hal ini memungkinkan penyerang untuk melewati blok yang ada pada nomor “jahat” oleh perusahaan telekomunikasi karena pesan smishing dikirim dari nomor telepon pengguna yang dikenali, kata mereka. korban bahwa pengaduan baru dibuka terhadap mereka—yang di Iran, bukanlah sesuatu yang bisa diabaikan, kata para peneliti.

“Keseriusan masalah semacam itu mungkin menjelaskan mengapa kampanye itu menjadi viral,” mereka mengamati dalam laporan tersebut. “Ketika pesan resmi pemerintah terlibat, kebanyakan warga tidak berpikir dua kali sebelum mengklik tautan.”

Tautan mengarahkan target ke apa yang tampak seperti situs resmi pemerintah, seolah-olah untuk membaca keluhan lengkap. Di sana pengguna diminta untuk memasukkan informasi identifikasi pribadi untuk melanjutkan ke sistem elektronik untuk melakukannya, menggunakan pembatasan COVID saat ini sebagai alasan ini harus dilakukan secara elektronik.

Setelah ini selesai, kampanye mengarahkan korban ke halaman untuk mengunduh malware File .apk yang, setelah diinstal, menampilkan halaman login palsu untuk layanan otentikasi sistem pemberitahuan peradilan elektronik Iran.

Halaman, yang tampak asli, meminta korban untuk memasukkan nomor ponsel dan identitas nasionalnya serta juga memberi tahu korban bahwa biaya yang kecil–—biasanya 20.000, atau kadang-kadang 50.000 rial Iran, setara dengan US$1–diperlukan untuk melanjutkan. Jumlah yang tidak seberapa itu mengurangi kecurigaan apa pun dan membuat transaksi tampak sah, catat para peneliti. penyerang sudah mengambil uang dan info pembayaran orang tersebut. Muatan malware kampanye juga telah diinstal pada perangkat seseorang pada saat ini, memungkinkan penyerang untuk melanjutkan pencurian lebih lanjut dan aktivitas berbahaya lainnya.

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep utama pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost LANGSUNG dan interaktif ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.

Daftar SEKARANG untuk acara LANGSUNG!
Write a comment
Bagikan artikel ini:

  • Malwareliu
      iMobile Security
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: