至少自 2022 年 2 月以来，作为大规模活动的一部分，已经观察到一种新的恶意活动，利用恶意 Android 应用程序窃取用户的短信。

这些恶意应用程序涵盖超过 107,000 个独特样本，旨在拦截用于在线帐户验证的一次性密码 （OTP） 以实施身份欺诈。

“在这107,000个恶意软件样本中，超过99,000个应用程序是未知的，并且在通常可用的存储库中不可用，”移动安全公司Zimperium在与The Hacker News分享的一份报告中说。 “这种恶意软件正在监控全球600多个品牌的一次性密码消息，其中一些品牌的用户数量超过数亿用户。”

在113个国家发现了该运动的受害者，其中印度和俄罗斯位居榜首，其次是巴西、墨西哥、美国、乌克兰、西班牙和土耳其。

攻击的起点是安装恶意应用程序，受害者通过模仿 Google Play 商店应用列表的欺骗性广告或伪装成合法服务（例如 Microsoft Word）作为分发渠道的 2,600 个 Telegram 机器人中的任何一个被诱骗安装在他们的设备上。

安装后，该应用程序会请求访问传入 SMS 消息的权限，然后它会访问 13 个命令和控制 （C2） 服务器之一以传输被盗的 SMS 消息。

“恶意软件仍然隐藏着，不断监控新的传入短信，”研究人员说。“它的主要目标是用于在线帐户验证的OTP。”

目前尚不清楚谁是该行动的幕后黑手，尽管已经观察到威胁行为者接受包括加密货币在内的各种支付方式，以推动一项名为快速短信（fastsms[.]Su），允许客户购买对虚拟电话号码的访问权限。

很可能在所有者不知情的情况下，与受感染设备关联的电话号码被用于通过收集双因素身份验证 （2FA） 所需的 OTP 来注册各种在线帐户。

2022 年初，趋势科技揭示了一项类似的以财务为动机的服务，该服务将 Android 设备困在一个僵尸网络中，可用于“批量注册一次性账户或创建经过电话验证的账户以进行欺诈和其他犯罪活动”。

“这些被盗的凭证为进一步的欺诈活动提供了跳板，例如在热门服务上创建虚假账户以发起网络钓鱼活动或社会工程攻击，”Zimperium说。

调查结果凸显了恶意行为者继续滥用Telegram，这是一款流行的即时通讯应用程序，每月活跃用户超过9.5亿，用于从恶意软件传播到C2等不同目的。

本月早些时候，Positive Technologies 披露了两个名为 SMS Webpro 和 NotifySmsStealer 的短信窃取器系列，它们针对孟加拉国、印度和印度尼西亚的 Android 设备用户，旨在向威胁行为者维护的 Telegram 机器人窃取消息。

这家俄罗斯网络安全公司还发现了伪装成 TrueCaller 和 ICICI Bank 的窃取恶意软件，它们能够通过消息传递平台窃取用户的照片、设备信息和通知。

“感染链始于对WhatsApp的典型网络钓鱼攻击，”安全研究员Varvara Akhapkina说。“除了少数例外，攻击者使用冒充银行的网络钓鱼网站来吸引用户从他们那里下载应用程序。”

另一个利用 Telegram 作为 C2 服务器的恶意软件是 TgRAT，这是一种 Windows 远程访问木马，最近已更新为包含 Linux 变体。它配备了下载文件、截取屏幕截图和远程运行命令的功能。

“Telegram在许多公司被广泛用作企业信使，”Doctor Web说。“因此，威胁行为者可以将其用作传播恶意软件和窃取机密信息的载体也就不足为奇了：该程序的受欢迎程度和 Telegram 服务器的常规流量使得在受感染的网络上伪装恶意软件变得容易。”