SMS PVA(전화 인증 계정) 서비스를 분석한 결과 수천 대의 감염된 Android 전화가 포함된 봇넷 위에 구축된 악성 플랫폼이 발견되었으며, 계정 검증을 위해 SMS에 의존하는 결함이 다시 한 번 강조되었습니다.
SMS PVA 서비스는 2018년에 보급된 이후로 사용자에게 다른 온라인 서비스 및 플랫폼에 등록하는 데 사용할 수 있는 대체 휴대폰 번호를 제공하고 SMS 기반 인증 및 확인을 위해 마련된 SSO(Single Sign-On) 메커니즘을 우회하는 데 도움이 됩니다. 새 계정.
트렌드마이크로 연구원들은 "이러한 유형의 서비스는 악의적인 행위자가 일회용 계정을 대량으로 등록하거나 사기 및 기타 범죄 활동을 수행하기 위해 전화 인증 계정을 만드는 데 사용할 수 있습니다"라고 말했습니다. 말했다 지난주에 발표된 보고서에서.
회사가 수집한 원격 측정 데이터에 따르면 감염자의 대부분은 인도네시아(47,357)에서 발생했으며 러시아(16,157), 태국(11,196), 인도(8,109), 프랑스(5,548), 페루(4,915), 모로코(4,822)가 그 뒤를 이었습니다. 4,413), 남아프리카(2,920), 우크라이나(2,779), 말레이시아(XNUMX).
영향을 받는 기기의 대부분은 Lava, ZTE, Mione, Meizu, Huawei, Oppo 및 HTC와 같은 OEM에서 조립한 저가형 Android 휴대폰입니다.
smspva[.]net이라는 특정 서비스는 SMS 가로채기 맬웨어에 감염된 Android 전화로 구성되어 있습니다. 연구원들은 이 맬웨어가 사용자가 실수로 다운로드한 맬웨어 또는 기기에 미리 로드된 악성 소프트웨어를 통해 발생했을 수 있다고 의심합니다. 제조 과정에서 공급망 타협을 의미합니다.
지하 VPA 서비스는 100개 이상의 국가에 걸쳐 전화 번호를 소유하고 있다고 주장하는 것 외에도 API를 통해 다양한 플랫폼에서 사용하기 위해 "대량 가상 전화 번호"를 광고합니다.
게릴라 악성코드(“플러그.덱스") 부분적으로 영향을 받는 Android 휴대전화에서 수신된 SMS 메시지를 구문 분석하고 다음과 비교하여 확인합니다. 특정 검색 패턴 원격 서버에서 수신한 다음 해당 표현식과 일치하는 메시지를 다시 서버로 추출합니다.
연구원들은 "맬웨어는 은밀하게 장기간 이 활동을 계속할 수 있도록 요청된 애플리케이션과 일치하는 문자 메시지만 수집하여 로우 프로파일로 남아 있습니다."라고 말했습니다. "SMS PVA 서비스를 통해 고객이 감염된 전화기의 모든 메시지에 액세스할 수 있다면 소유자는 문제를 빠르게 알아차릴 것입니다."
온라인 포털이 등록하는 동안 전화번호와 사용자의 위치(즉, IP 주소)를 교차 확인하여 새 계정을 인증하는 경우가 많기 때문에 SMS PVA 서비스는 주거용 프록시와 VPN을 사용하여 원하는 플랫폼에 연결함으로써 이러한 제한을 우회합니다. .
또한 이러한 서비스는 계정 등록 시 필요한 XNUMX회용 확인 코드만 판매하며 봇넷 운영자는 소유자 모르게 및 동의 없이 손상된 장치 군대를 사용하여 SMS 확인 코드를 수신, 검사 및 보고합니다.
다시 말해, 봇넷은 여러 국가에 있는 수천 개의 휴대폰 번호에 쉽게 액세스할 수 있도록 하여 행위자가 효과적으로 새 계정을 일괄 등록하고 다양한 사기에 사용하거나 조정된 가짜 사용자 행동에 가담할 수 있도록 합니다.
연구원들은 "SMS PVA 서비스의 존재는 계정 검증의 주요 수단으로서 SMS 검증의 무결성에 또 다른 흠집을 만든다"고 말했습니다.
"SMS PVA가 모바일 번호를 제공할 수 있는 규모는 이전에 계정 남용에 묶인 모바일 번호를 차단 목록에 추가하거나 VoIP 서비스 또는 SMS 게이트웨이에 속한 번호를 식별하는 것과 같은 유효성을 보장하는 일반적인 방법으로는 충분하지 않다는 것을 의미합니다."
