Une analyse des services de compte vérifié par téléphone par SMS (PVA) a conduit à la découverte d’une plate-forme malveillante construite sur un botnet impliquant des milliers de téléphones Android infectés, soulignant une fois de plus les failles du recours aux SMS pour la validation du compte.
Les services SMS PVA, depuis qu’ils ont gagné en prévalence en 2018, fournissent aux utilisateurs des numéros mobiles alternatifs qui peuvent être utilisés pour s’inscrire à d’autres services et plates-formes en ligne, et aident à contourner les mécanismes d’authentification par SMS et d’authentification unique (SSO) mis en place pour vérifier nouveaux comptes.
« Ce type de service peut être utilisé par des acteurs malveillants pour enregistrer des comptes jetables en masse ou créer des comptes vérifiés par téléphone pour mener des fraudes et d’autres activités criminelles », ont déclaré les chercheurs de Trend Micro. mentionné dans un rapport publié la semaine dernière.
Les données de télémétrie recueillies par la société montrent que la plupart des infections se situent en Indonésie (47 357), suivie de la Russie (16 157), de la Thaïlande (11 196), de l’Inde (8 109) et de la France (5 548), du Pérou (4 915), du Maroc ( 4 822), l’Afrique du Sud (4 413), l’Ukraine (2 920) et la Malaisie (2 779).
La majorité des appareils concernés sont des téléphones Android économiques assemblés par des fabricants d’équipement d’origine tels que Lava, ZTE, Mione, Meizu, Huawei, Oppo et HTC.
Un service particulier, baptisé smspva[.]net, comprend des téléphones Android infectés par des logiciels malveillants d’interception de SMS, qui, selon les chercheurs, auraient pu se produire de l’une des deux manières suivantes : par des logiciels malveillants téléchargés accidentellement par l’utilisateur ou par des logiciels malveillants préchargés dans les appareils pendant la fabrication, ce qui implique une compromission de la chaîne d’approvisionnement .
Le service VPA souterrain annonce des « numéros de téléphone virtuels en masse » à utiliser sur diverses plates-formes via une API, en plus de prétendre être en possession de numéros de téléphone couvrant plus de 100 pays.
Le malware Guerrilla (« plug.dex« ), pour sa part, est conçu pour analyser les messages SMS reçus sur le téléphone Android concerné, les comparer modèles de recherche spécifiques reçu d’un serveur distant, puis exfiltre les messages correspondant à ces expressions vers le serveur.
« Le logiciel malveillant reste discret, ne collectant que les messages texte correspondant à l’application demandée afin qu’il puisse continuer secrètement cette activité pendant de longues périodes », ont déclaré les chercheurs. « Si le service SMS PVA permet à ses clients d’accéder à tous les messages sur les téléphones infectés, les propriétaires remarqueront rapidement le problème. »
Les portails en ligne authentifiant souvent les nouveaux comptes en recoupant l’emplacement (c’est-à-dire l’adresse IP) des utilisateurs avec leurs numéros de téléphone lors de l’inscription, les services SMS PVA contournent cette restriction en utilisant des proxys résidentiels et des VPN pour se connecter à la plate-forme souhaitée. .
De plus, ces services ne vendent que les codes de confirmation uniques nécessaires au moment de l’enregistrement du compte, l’opérateur de botnet utilisant l’armée d’appareils compromis pour recevoir, examiner et signaler les codes de vérification SMS à l’insu et sans le consentement des propriétaires.
En d’autres termes, le botnet facilite l’accès à des milliers de numéros mobiles dans différents pays, permettant ainsi aux acteurs d’enregistrer de nouveaux comptes en masse et de les utiliser pour diverses escroqueries ou même de participer à un comportement coordonné d’utilisateurs inauthentiques.
« La présence de services SMS PVA fait une autre brèche dans l’intégrité de la vérification par SMS en tant que principal moyen de validation de compte », ont déclaré les chercheurs.
« L’échelle à laquelle SMS PVA est capable de fournir des numéros mobiles signifie que les méthodes habituelles pour garantir la validité – telles que la liste noire des numéros mobiles précédemment liés à l’abus de compte ou l’identification des numéros appartenant aux services VoIP ou aux passerelles SMS – ne suffiront pas. »