用手机产生动态密码(OTP)的多因素验证机制相当普遍,广受许多企业的采用,但骇客也试图入侵手机窃取这类资讯,从而闯入受害者所属的企业组织网路环境。
资安业者Zimperium指出,他们自2022年2月开始,在这波行动里,大部分(95%)的恶意应用程式并未具备骇客宣称的功能,攻击者基础设施的规模也相当庞大,不仅有13个C2伺服器用来接收恶意软体偷到的简讯内容,约有2,600个Telegram机器人与之相关,攻击者可能借此散布部分恶意应用程式。
值得留意的是,攻击者能够回避许多防毒软体的侦测,因此,行动装置可能需要透过多种管道来强化安全。
究竟骇客如何发起攻击行动?他们先冒充Google Play应用程式市集发送广告,或是借由自动化的Telegram机器人,向目标使用者取得联系,提供APK档案,一旦使用者依照指示安装,手机就会侧载恶意软体,向使用者请求读取简讯的权限。
若是使用者同意这项授权要求,此恶意程式就会与C2伺服器连线,接收并执行命令,以及收集受害手机里的资料。特别的是,这些恶意软体最初是透过Firebase资料库取得C2伺服器IP位址,但后来骇客调整手法,改用GitHub储存库,或是直接在恶意软体内嵌C2伺服器IP位址。