世界113カ国のAndroidデバイスがSMS経由でワンタイムパスワードを盗み出すマルウェアに感染していることが発覚

世界113カ国のAndroidデバイスを標的としたサイバー攻撃の実態が明らかになりました。このサイバー攻撃では、Telegramボットを駆使してAndroidデバイスをマルウェアに感染させ、ユーザーがオンラインアカウントで利用しているワンタイムパスワードを盗み出していることが明らかになっています。

Unmasking the SMS Stealer: Targeting Several Countries with Deceptive Apps - Zimperium
https://www.zimperium.com/blog/unmasking-the-sms-stealer-targeting-several-countries-with-deceptive-apps/

Massive SMS stealer campaign infects Android devices in 113 countries
https://www.bleepingcomputer.com/news/security/massive-sms-stealer-campaign-infects-android-devices-in-113-countries/

Cybercriminals Deploy 100K+ Malware Android Apps to Steal OTP Codes
https://thehackernews.com/2024/07/cybercriminals-deploy-100k-malware.html

Dynamically Evolving SMS Stealer Threatens Global Android Users
https://www.darkreading.com/endpoint-security/dynamically-evolving-sms-stealer-threatens-global-android-users

Zimperium warns new 'SMS Stealer' malware is actively intercepting onetime passwords - SiliconANGLE
https://siliconangle.com/2024/07/31/zimperium-warns-new-sms-stealer-malware-actively-intercepting-one-time-passwords/

Global SMS Stealer Targeting Android Users via Malicious Apps and Ads
https://hackread.com/global-sms-stealer-android-users-malicious-apps-ads/

Massive OTP-Stealing Android Malware Campaign Discovered  - SecurityWeek
https://www.securityweek.com/massive-otp-stealing-android-malware-campaign-discovered/

Massive SMS stealer campaign exposes Android devices in 113 countries, says Zimperium - Tech Monitor
https://techmonitor.ai/technology/cybersecurity/sms-stealer-campaign

Widespread Android SMS stealer campaign detailed | SC Media
https://www.scmagazine.com/brief/widespread-android-sms-stealer-campaign-detailed

Android users, beware! Text message stealing malware is targeting smartphones to gain access to users' data | Mashable
https://mashable.com/article/android-malware-sms-stealer-campaign

New SMS Stealer Malware Targets Over 600 Global Brands - Infosecurity Magazine
https://www.infosecurity-magazine.com/news/sms-stealer-targets-600-brands/

セキュリティソフトウェアを開発するZimperiumの研究者が、Androidデバイスに感染してワンタイムパスワードを盗み出すサイバー攻撃を検知し、2022年2月頃から追跡を行ってきました。Zimperiumの研究チームは、これまでに同サイバー攻撃に利用されたマルウェアのサンプルを少なくとも10万7000件検出しています。

攻撃者はAndroidの公式アプリストアであるGoogle Playを模したマルバタイジングやTelegramのボットを利用してマルウェアを配布しています。

マルバタイジング経由の場合、Androidユーザーは広告経由で偽造されたGoogle Playページに誘導され、アプリに見せかけたマルウェアをインストールさせられてしまう模様。Telegramボットの場合、ボットがユーザーに「Android向けの海賊版アプリを提供する」と約束し、APKファイルを共有するために電話番号を知らせるよう要求します。こうして入手した電話番号を利用し、Telegramボットは電話番号の利用者を追跡したり攻撃したりすることができるようにAPKファイルを調整してからターゲットにマルウェアを配布するそうです。

マルウェアに感染したAndroidデバイスがSMSメッセージを受信すると、マルウェアはユーザーにSMSへのアクセス許可を要求します。これが許可されると、攻撃者が利用している13のコマンド＆コントロールサーバーのいずれかに接続され、傍受されたメッセージがサーバーに送信される模様。なお、Zimperiumによると攻撃者は2600件ものTelegramボットを駆使してマルウェアを配布しているそうです。

被害者が多い国から順にインド(23.8％)、ロシア(17.5％)、ブラジル(5.8％)、メキシコ(4.6％)、アメリカ(4.0％)、ウクライナ(3.8％)、スペイン(3.4％)、トルコ(2.5％)と続きます。

以下は被害者が世界のどこに多く居住しているかを表したグラフ。世界中の113カ国のAndroidユーザーが被害にあったものと推定されていますが、日本では被害が出ていない模様。

マルウェアが被害者のデバイスで受信したSMSメッセージをウェブサイト「fastsms.su」の特定のAPIエンドポイントに送信していることを、Zimperiumの研究チームは特定しています。このウェブサイトは海外の仮想電話番号へのアクセス権を購入し、匿名化やオンラインプラットフォームの認証に使用することができるサービスです。

fastsms.suで仮想電話番号が販売されている国のリストが以下。

マルウェアに感染したデバイスは、被害者が気付かないうちにfastsms.suに利用されている可能性が非常に高いとZimperiumは指摘しています。

これを実現するために、マルウェアはAndroidデバイスのSMSへのアクセス権限を取得したのち、オンラインアカウントの認証に利用されるワンタイムパスワードを傍受します。なお、マルウェアが盗み出したワンタイムパスワードは、600を超えるグローバルブランドで利用されており、中にはユーザー数が数億人に達するような有名サービスのものも含まれていたそうです。

マルウェアに感染したAndroidデバイスユーザーは、不正な請求を受ける可能性があるだけでなく、電話番号を違法行為に利用している疑いをかけられる可能性もあります。

この種の攻撃を避けるためのポイントとして、セキュリティメディアのBleepingComputerは「Google Play以外からAPKファイルをダウンロードしないようにすること」と「関係のない機能を持つアプリに危険な権限を付与しないこと」を挙げています。