Uma nova campanha maliciosa tem sido observada usando aplicativos Android maliciosos para roubar mensagens SMS dos usuários desde, pelo menos, fevereiro de 2022, como parte de uma campanha em larga escala. Os aplicativos maliciosos, abrangendo mais de 107.000 amostras únicas, são projetados para interceptar senhas de uso único (OTPs) usadas para verificação de contas online, visando cometer fraude de identidade.

Segundo os pesquisadores, dessas 107.000 amostras de malware, mais de 99.000 desses aplicativos são/foram desconhecidos e indisponíveis em repositórios geralmente disponíveis. Este malware estava monitorando mensagens de OTP em mais de 600 marcas globais, com algumas marcas tendo contagens de usuários na casa dos centenas de milhões. As vítimas da campanha foram detectadas em 113 países, com Índia e Rússia liderando a lista, seguidas por Brasil, México, EUA, Ucrânia, Espanha e Turquia.

O ponto de partida do ataque é a instalação de um aplicativo malicioso que a vítima é enganada a instalar em seu dispositivo, seja por meio de anúncios enganosos que imitam listagens de aplicativos da Google Play Store ou por qualquer um dos 2.600 bots do Telegram que servem como canal de distribuição, disfarçados como serviços legítimos (por exemplo, Microsoft Word). “O malware permanece oculto, monitorando constantemente novas mensagens SMS recebidas,” disseram os pesquisadores.

Atualmente, não está claro quem está por trás da operação, embora tenha sido observado que os atores da ameaça aceitam vários métodos de pagamento, incluindo criptomoedas, para alimentar um serviço chamado Fast SMS (fastsms[.]su) que permite aos clientes comprar acesso a números de telefone virtuais.