安卓使用者注意了!黑客利用“一次性”賬戶開展詐騙
一個針對SMS電話驗證帳戶 (PVA) 服務的分析發現,一個基於殭屍網路的流氓網站關聯了數千部受感染的安卓手機,這再次揭露了依託SMS進行賬戶驗證的漏洞。
SMS PVA服務自2018年流行以來,為使用者提供可在其他線上服務和平臺註冊的替代手機號碼,並幫助繞過基於SMS的身份驗證和單點登入 (SSO) 機制來驗證新帳戶。
趨勢科技研究人員在上週釋出的一份報告中表示: “黑客可以使用此類服務批量註冊一次性帳戶或建立電話驗證帳戶,以此進行欺詐和其他犯罪活動。”
該公司收集的遙測資料顯示,大部分感染案例位於印度尼西亞(數量約為47357),其次是俄羅斯(數量約為16157)、泰國(數量約為11196)、印度(數量約為8109)、法國(數量約為5548)、祕魯(數量約為4915)、摩洛哥(數量約為4822)、南非 (數量約為4413)、烏克蘭 (數量約為2920) 和馬來西亞 (數量約為2779)。
大多數受影響的裝置是由Lava、中興、Mione、魅族、華為、Oppo和HTC等原始裝置製造商組裝的廉價安卓手機。
下載了SMS攔截惡意軟體的安卓手機提供了一項名為 smspva[.]net的特殊服務,研究人員懷疑安卓手機感染主要是利用以下兩種方式:一是通過使用者意外下載的惡意軟體;二是通過在製造過程中預裝到裝置中的惡意軟體,這意味著供應鏈環節出現了問題。
據說,VPA服務地下市場除了擁有超100 多個國家/地區的電話號碼外,還通過API在各種平臺上宣傳“批量虛擬電話號碼”以供使用。
Guerrilla惡意軟體(“ plug.dex ”)就其本身而言,主要是用來解析感染安卓手機上接收到的 SMS訊息,根據遠端伺服器接收到的特定搜尋模式檢查它們,然後將與這些表示式匹配的已經洩露的訊息重新傳回伺服器。
研究人員說:“惡意軟體還是比較’低調’,只收集與請求的應用程式匹配的文字訊息,這可以讓它祕密地長時間繼續這種活動。如果SMS PVA服務允許其客戶訪問受感染手機上的所有訊息,那麼裝置持有人很快就會發現這些問題。”
在使用者註冊的時候,線上入口網站通常通過交叉檢查使用者的位置(即IP地址)與他們的電話號碼來驗證新帳戶,SMS PVA服務通過使用住宅代理和連線到所需的平臺的VPN來繞過這個限制。
更重要的是,這些服務只出售賬戶註冊時所需的一次性確認碼,殭屍網路運營商在未經所有者知情和同意的情況下,使用大量受感染裝置接收、檢查和報告簡訊驗證碼。
換句話說,殭屍網路可以輕鬆訪問不同國家的數千個手機號碼,讓犯罪團伙能夠大量註冊新賬戶並將其用於各種詐騙,甚至參與“協同造假行為”(即個人或者機構開設虛假賬號,偽裝成其他個人或者組織,釋出虛假資訊,試圖操縱公眾輿論的行為)。
研究人員說:“SMS PVA服務的存在進一步削弱了簡訊驗證作為帳戶驗證主要手段的完整性,即存在安全風險隱患。從SMS PVA能夠提供手機號碼的規模來看,確保有效性的常用方法是是不夠的,例如,將以前與帳戶相關聯的手機號碼或識別屬於VoIP服務或SMS閘道器的號碼列入黑名單。”
參考來源:
http://thehackernews.com/2022/02/hackers-exploit-bug-in-sms-verification.html
作者:空城handsome
- 俄羅斯 Yandex 被黑,造成莫斯科交通堵塞
- 黑山遭遇勒索軟體攻擊,黑客索要1000萬美元
- 義大利石油巨頭 ENI 遭受網路攻擊
- 紅隊滲透測試之Sputnik
- 黑客利用天文望遠鏡拍攝的影象傳播惡意軟體
- 暗網上正在出售COVID-19患者資料
- Sliver取代Cobalt Strike成黑客滲透工具“新寵”
- 密碼管理巨頭LastPass遭遇網路攻擊,原始碼已洩露
- LockBit 勒索軟體團伙通過三重勒索策略變得更加強勢
- 谷歌發現伊朗黑客新工具,可竊取Gmail、雅虎、Outlook等電子郵件賬戶
- 惡意程式正潛入盜版3DMark等軟體進行傳播
- 加密貨幣收割機:Lazarus APT組織近期不斷攻擊加密貨幣行業
- 未更新韌體,超八萬臺海康威視攝像機可能被利用
- 黑客利用零日漏洞竊取 General Bytes ATM 機上的加密貨幣
- 網路犯罪組織 TA558 針對酒店、賓館和旅遊機構展開攻擊
- 勒索軟體BlackByte 帶著2.0 版本回歸了,並建立了一個新的資料洩露網站
- 聊聊新版風險評估的變化
- 2021年,身份欺詐案例創下新記錄
- 攻擊者開發BugDrop惡意軟體,可繞過安卓安全防護
- 一種新型攻擊技術出現,可將PLC武器化