Il a été découvert qu’une application SMS Android malveillante trouvée sur le Google Play Store récoltait furtivement des messages texte dans le but de créer des comptes sur un large éventail de plates-formes telles que Facebook, Google et WhatsApp.
L’application, nommée Symoo (com.vanjan.sms), a enregistré plus de 100 000 téléchargements et a fonctionné comme un relais pour transmettre des messages à un serveur, qui annonce un service de création de compte.
Ceci est réalisé en utilisant les numéros de téléphone associés aux appareils infectés comme moyen de recueillir le mot de passe à usage unique qui est généralement envoyé pour vérifier l’utilisateur lors de la configuration de nouveaux comptes.
« Le malware demande le numéro de téléphone de l’utilisateur sur le premier écran », a déclaré le chercheur en sécurité Maxime Ingrao, qui a découvert le malware. a dittout en demandant des autorisations SMS.
« Ensuite il fait semblant de charger l’application mais reste tout le temps sur cette page, c’est pour masquer l’interface des SMS reçus et que l’utilisateur ne voit pas les SMS d’abonnements aux différents services. »
Certains des principaux services enregistrés illégalement à l’aide des numéros de téléphone incluent Amazon, Discord, Facebook, Google, Instagram, KakaoTalk, Microsoft, Nike, Telegram, TikTok, Tinder, Viber et WhatsApp, entre autres.
De plus, les données collectées par le malware sont exfiltrées vers un domaine nommé « goomy[.]fun », qui était auparavant utilisé dans une autre application malveillante appelée Virtual Number (com.programmatics.virtualnumber) qui a depuis été supprimée du Play Store.
Le développeur de l’application, Walven, a également été lié à une autre application Android connue sous le nom de ActivationPW – Numéros virtuels (com.programmatics.activation) qui prétend offrir des « numéros virtuels pour recevoir la vérification par SMS » de plus de 200 pays pour moins de 50 cents.
Selon Ingrao, Symoo et ActivationPW représentent les deux extrémités du stratagème frauduleux, dans lequel les numéros de téléphone des appareils piratés sur lesquels le premier est installé sont utilisés pour aider les utilisateurs à acheter des comptes via ce dernier.
Google a déclaré à The Hacker News que les deux applications avaient été supprimées du Play Store et que le développeur avait été banni.
