O número de ataques cibernéticos não para de crescer e vem de todas as partes do mundo. A mais nova moda são os ataques de smishing em dispositivos móveis Android. Eles ocorreriam no Irã com motivação financeira, uma vez que foram roubados bilhões em Rial, a moeda corrente iraniana, dos cidadãos. A Check Point Software ressalta que, mesmo sendo campanhas maliciosas específicas no Irã, elas podem ocorrer em qualquer outra parte do mundo. Por isso, seus pesquisadores reforçam a importância de aumentar a conscientização sobre os esquemas de engenharia social empregados por cibercriminosos globalmente.
A Check Point Research (CPR) identificou campanhas maliciosas em andamento usando mensagens SMS com técnica de engenharia social para infectar dezenas de milhares de dispositivos de cidadãos iranianos.
As mensagens SMS fraudulentas, elaboradas de modo a se passar pelo governo iraniano, induzem as vítimas a baixar aplicativos Android maliciosos relacionados a serviços oficiais iranianos, como os Serviços Judiciais Eletrônicos do Irã. Esses aplicativos roubam credenciais de cartão de crédito, mensagens SMS pessoais e códigos de autenticação de dois fatores. Os atacantes, então, procedem a retiradas de dinheiro não autorizadas e transformam cada dispositivo infectado em um bot, espalhando o malware para outras pessoas.
Check Point Software identifica campanhas maliciosas usando mensagens SMS para atacar cidadãos do Irã
Os atacantes envolvidos utilizam uma técnica conhecida como “smishing” de botnets, em que os dispositivos comprometidos são usados como robôs (bots) para espalhar mensagens SMS de phishing semelhantes para outras vítimas em potencial. Os cibercriminosos usam vários canais do aplicativo Telegram para promover e vender suas ferramentas. Por US$ 50 até US$ 150, os atacantes fornecem um “Kit de campanha Android” completo, incluindo o aplicativo malicioso e a infraestrutura subjacente, com um painel de controle que pode ser facilmente gerenciado por qualquer invasor não qualificado por meio de uma interface simples de bot do Telegram.
As percepções da CPR surgem em meio a grandes ataques cibernéticos direcionados à população em geral do Irã, incluindo aqueles contra infraestruturas de ferrovias, postos de gasolina e outros mais. Os pesquisadores da CPR atribuíram esses ciberataques mais recentes a cibercriminosos motivados exclusivamente por ganhos financeiros.
Bilhões de Rials iranianos roubados
A Check Point Research estima que os atacantes por trás desses ataques comprometeram e instalaram malware em dezenas de milhares de dispositivos Android, resultando no roubo de bilhões de Rials iranianos das vítimas, com estimativas de US$ 1.000 a US$ 2.000 por vítima. Além disso, a investigação da CPR revela que os dados roubados dos dispositivos das vítimas estão gratuitamente acessíveis online a terceiros, uma vez que não foram protegidos.
Metodologia de Ataque
O ataque começa com uma mensagem SMS de phishing. Em muitos casos, é uma mensagem de um sistema de notificação judicial eletrônico que notifica a vítima de que uma nova queixa foi aberta contra ela. A mensagem SMS contém o link para uma página da web para acompanhamento da reclamação.
A página da Web induz o usuário a baixar um aplicativo Android malicioso e inserir dados de cartão de crédito sob o pretexto de pagamento de uma taxa de serviço.
Uma vez instalado, o aplicativo Android malicioso rouba todas as mensagens SMS do dispositivo infectado, permitindo que os atacantes usem o cartão de crédito com acesso ao SMS de autenticação de dois fatores enviado por empresas de cartão de crédito.
O aplicativo malicioso verifica o servidor C&C (Comando e Controle) controlado pelo atacante em busca de novos comandos a serem executados periodicamente. O mais notável é o comando para espalhar mensagens SMS de phishing adicionais para uma lista de novos números de telefone.
O escopo do backdoor Android inclui:
1. Roubo de SMS: imediatamente após a instalação do aplicativo falso, todas as mensagens SMS da vítima são enviadas para o servidor dos cibercriminosos.
2. Ocultando para persistência: Após enviar as informações do cartão de crédito, o aplicativo pode ocultar seu ícone, dificultando o controle e a desinstalação.
3. Desvio de autenticação de dois fatores: ao ter acesso aos dados do cartão de crédito e SMS no dispositivo, os atacantes podem proceder a retiradas não autorizadas das contas bancárias da vítima, sequestrando a autenticação de dois fatores (senha única).
4. Recursos de botnet – o malware permite que comandos adicionais sejam executados no dispositivo da vítima, como roubo de contatos e envio de mensagens SMS.
5. Recursos do worm: o aplicativo pode enviar SMS para uma lista, usando uma mensagem personalizada e uma lista de números de telefone, ambos recuperados do servidor C&C. Isso permite que mensagens de phishing sejam distribuídas a partir de números de telefone de usuários típicos, em vez de um local central e não se limitando a um pequeno conjunto de números de telefone que podem ser facilmente bloqueados. Isso significa que, tecnicamente, não há linhas “maliciosas” que possam ser bloqueadas por empresas de telecomunicações ou rastreadas até cibercriminosos.
“A população do Irã está em uma situação de crescente ameaça, em que os ataques cibernéticos afetam significativamente a vida cotidiana. Esses ataques começaram com as ferrovias, que rastreamos até um grupo chamado Indra. Os ataques continuaram com os postos de gasolina e, em seguida, contra a empresa nacional de aviação. Embora não vejamos uma conexão direta entre esses ataques cibernéticos mais recentes e os principais ataques mencionados, verificamos que até mesmo ciberataques pouco sofisticados criam danos significativos à população em geral do Irã. Acreditamos que esses ciberataques recentes tenham motivação financeira e sejam uma forma de cibercrime puro. Suspeitamos que os atacantes sejam provavelmente do próprio Irã”, explica Alexandra Gofman, líder da equipe de inteligência de ameaças da Check Point Software Technologies.
De acordo com Gofman, especificamente, a velocidade e a propagação desses ciberataques não têm precedentes. A campanha explora a engenharia social e causa grandes prejuízos financeiros às vítimas, apesar da baixa qualidade e simplicidade técnica de suas ferramentas. Existem algumas razões para seu sucesso. Em primeiro lugar, quando mensagens governamentais de aparência oficial estão envolvidas, os cidadãos comuns tendem a verificar mais sobre informações, clicando no link fornecido. Em segundo lugar, devido à natureza de botnet desses ataques, em que cada dispositivo infectado recebe o comando para distribuir mensagens SMS de phishing adicionais, essas campanhas se espalham rapidamente para um grande número de vítimas em potencial.
Embora essas campanhas específicas sejam difundidas no Irã, elas podem ocorrer em qualquer outra parte do mundo. Por isso, é importante aumentar a conscientização sobre os esquemas de engenharia social empregados por cibercriminosos globalmente.
Dicas de segurança
Os pesquisadores da CPR apontam três dicas básicas de segurança:
- Usar as lojas de aplicativos oficiais para baixar aplicativos, mesmo aqueles recomendados por familiares e amigos ou sugeridos nas redes sociais.
- Usar a autenticação de dois fatores, preferencialmente de dois dispositivos diferentes.
- Proteger o dispositivo móvel da mesma forma como protege os computadores/laptops.
