Een analyse van sms-telefoongeverifieerde accountservices (PVA) heeft geleid tot de ontdekking van een frauduleus platform bovenop een botnet met duizenden geïnfecteerde Android-telefoons, wat nogmaals de tekortkomingen onderstreept van het vertrouwen op sms voor accountvalidatie.
SMS PVA-services, die in 2018 steeds populairder zijn geworden, bieden gebruikers alternatieve mobiele nummers die kunnen worden gebruikt om zich te registreren voor andere online services en platforms, en helpen bij het omzeilen van op sms gebaseerde authenticatie en single sign-on (SSO)-mechanismen die zijn ingevoerd om te verifiëren nieuwe rekeningen.
“Dit type service kan door kwaadwillende actoren worden gebruikt om massaal wegwerpaccounts te registreren of telefoongeverifieerde accounts te maken voor het uitvoeren van fraude en andere criminele activiteiten”, onderzoekers van Trend Micro. zei in een rapport dat vorige week werd gepubliceerd.
Uit telemetriegegevens die door het bedrijf zijn verzameld, blijkt dat de meeste infecties zich bevinden in Indonesië (47.357), gevolgd door Rusland (16.157), Thailand (11.196), India (8.109) en Frankrijk (5.548), Peru (4.915), Marokko ( 4.822), Zuid-Afrika (4.413), Oekraïne (2.920) en Maleisië (2.779).
De meeste getroffen apparaten zijn goedkope Android-telefoons die zijn geassembleerd door fabrikanten van originele apparatuur zoals Lava, ZTE, Mione, Meizu, Huawei, Oppo en HTC.
Een bepaalde service, genaamd smspva[.]net, bestaat uit Android-telefoons die zijn geïnfecteerd met malware voor het onderscheppen van sms, waarvan de onderzoekers vermoeden dat dit op twee manieren kan zijn gebeurd: via malware die per ongeluk door de gebruiker is gedownload of via schadelijke software die tijdens de productie op de apparaten is geladen, wat een compromis in de toeleveringsketen impliceert .
De ondergrondse VPA-service adverteert met “bulk virtuele telefoonnummers” voor gebruik op verschillende platforms via een API, naast het beweren in het bezit te zijn van telefoonnummers in meer dan 100 landen.
De Guerrilla-malware (“plug.dex“), van zijn kant, is ontworpen om sms-berichten die zijn ontvangen op de getroffen Android-telefoon te ontleden, en vergelijk ze met specifieke zoekpatronen ontvangen van een externe server, en exfiltreer vervolgens de berichten die overeenkomen met die uitdrukkingen terug naar de server.
“De malware blijft onopvallend en verzamelt alleen de sms-berichten die overeenkomen met de aangevraagde applicatie, zodat het deze activiteit gedurende lange tijd heimelijk kan voortzetten”, aldus de onderzoekers. “Als de SMS PVA-service zijn klanten toegang geeft tot alle berichten op de geïnfecteerde telefoons, zouden de eigenaren het probleem snel opmerken.”
Met online portals die vaak nieuwe accounts authenticeren door de locatie (dwz het IP-adres) van de gebruikers tijdens de registratie te vergelijken met hun telefoonnummers, omzeilen SMS PVA-services deze beperking door gebruik te maken van residentiële proxy’s en VPN’s om verbinding te maken met het gewenste platform .
Bovendien verkopen deze services alleen de eenmalige bevestigingscodes die nodig zijn op het moment van accountregistratie, waarbij de botnet-operator het leger van gecompromitteerde apparaten gebruikt om de sms-verificatiecodes te ontvangen, onderzoeken en rapporteren zonder medeweten en toestemming van de eigenaars.
Met andere woorden, het botnet faciliteert gemakkelijke toegang tot duizenden mobiele nummers in verschillende landen, waardoor de actoren effectief massaal nieuwe accounts kunnen registreren en deze kunnen gebruiken voor verschillende vormen van oplichting of zelfs deelnemen aan gecoördineerd niet-authentiek gebruikersgedrag.
“De aanwezigheid van SMS PVA-services maakt een nieuwe deuk in de integriteit van sms-verificatie als het primaire middel voor accountvalidatie”, aldus de onderzoekers.
“De schaal waarop SMS PVA mobiele nummers kan leveren, betekent dat de gebruikelijke methoden om de geldigheid te waarborgen – zoals het blokkeren van mobiele nummers die eerder waren gekoppeld aan accountmisbruik of het identificeren van nummers die behoren tot VoIP-services of sms-gateways – niet voldoende zullen zijn.”
