Зловмисники все частіше намагаються Telegram як сервер керування (C2) для шкідливих програм. Недавнє дослідження в Positive Technologies виявило понад тисячу індонезійських ботів Telegram, які використовувалися для перехоплення одноразових кодів, деякі для входу в різні сервіси та облікові записи користувачів.

Більшість проаналізованих експертами шкідливих програм складається з двох типів крадіжок — SMS Webpro і NotifySmsStealer. Зловмисники не створюють шкідливі програми з нуля, а пропонують готові шаблони. Структури класів, імена та код цих крадіїв ідентичні, відрізняються лише серверами C2 зразків і форматом повідомлення Telegram. NotifySmsStealer відрізняється від SMS Webpro тим, що він може викрадати інформацію з повідомлень і сповіщень.

Ці атаки спрямовані на звичайних користувачів, які підтримують фішингові повідомлення з вкладеним файлом APK. Завантаживши цей файл, жертви мимоволі встановлюють SMS-крадіжку на ваші телефони, дозволяючи зловмисникам перехоплювати одноразові коди для входу в сервіси. Утримання одноразового пароля до банківського рахунку дозволяє зловмисникам знімати кошти з рахунку жертви.

Експерти Positive Technologies під час дослідження ботів Telegram виявили багато чатів індонезійського походження, які щодня привертають увагу великої кількості повідомлень і жертв. Вони виявили, що розповсюдження SMS-стилерів часто почалося з фішингових атак на WhatsApp. Як приманку зловмисники використовували запрошення на весілля, банківські повідомлення та інші документи.

За даними експертів, більшість жертв цих нападів – громадяни Індонезії, число жертв обчислюється тисячами. В Індії та Сінгапурі кількість завантажень шкідливих програм досягла кількох десятків. В Індії та Бангладеш активні унікальні типи крадіїв.

Для захисту від крадіїв рекомендують експертизу:

  • Перевірте розширення отриманих файлів.
  • Не завантажуйте додатки для посилань у повідомленнях з невідомих номерів, навіть якщо відправники називаються працівниками банку.
  • Під час завантаження з Google Play перевірте назву програми в офіційних джерелах.
  • Не завантажуйте та не встановлюйте програми, які вимагають оцінки будь-яких дозволів.