Тысячи людей стали жертвами SMS-стилеров SMS Webpro и NotifySmsStealer

В ходе исследования специалисты обнаружили более тысячи Telegram-ботов, созданных в Индонезии, которые используются SMS-стилерами для перехвата одноразовых кодов доступа к различным сервисам и аккаунтам пользователей. Подобные атаки могли затронуть не только жителей Индонезии, но и пользователей из России и Белоруссии.

Среднее количество сообщений в таких ботах составляло от 10 000 до 30 000, а в некоторых случаях достигало 100 000 сообщений всего в одном чате.

Анализируя Telegram-ботов, мы обнаружили огромное количество чатов индонезийского происхождения, ежедневно привлекающих внимание количеством сообщений и числом жертв. Мы выявили SMS-стилеры, связанные с этими чатами, цепочка заражений которых чаще всего начиналась с фишинга в WhatsApp. В большинстве случаев злоумышленники использовали свадебные приглашения, банковские и другие сервисные документы в качестве приманки, рассказывает Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies.

Наиболее часто встречающимися стилерами были SMS Webpro и NotifySmsStealer. Злоумышленники не разрабатывают эти вредоносные программы с нуля, а используют купленные шаблоны. Структура классов, их названия и сам код стилеров идентичны, различаются лишь управляющие серверы образцов, а также формат и содержание сообщений в Telegram. Один тип малвари отличается от другого способностью похищать информацию не только из сообщений, но и из уведомлений.

Основной целью атак являются обычные пользователи. Жертвы получали фишинговые сообщения с вложениями в виде APK-файлов и скачивали их, не обращая внимания на расширение. В редких случаях злоумышленники использовали фишинговые сайты, замаскированные под банки, чтобы пользователи загрузили поддельные приложения.

Установив на телефон SMS-стилер, злоумышленники получали возможность перехватывать одноразовые коды для доступа к различным сервисам. Получив одноразовый пароль от банковского аккаунта, они могли выводить средства со счета жертвы.

По словам экспертов, наибольшее количество пострадавших зафиксировано в Индонезии, где число предполагаемых жертв исчисляется тысячами. В Индии и Сингапуре количество загрузок вредоносного ПО достигло нескольких десятков. В России, Белоруссии и Малайзии также зафиксированы единичные случаи атак.