Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 1 Agosto 2024 09:23
Gli specialisti di Zimperium hanno scoperto una campagna dannosa che prende di mira i dispositivi Android in tutto il mondo. Gli aggressori utilizzano migliaia di bot di Telegram per infettare i dispositivi con malware che rubano SMS e password monouso per l’autenticazione a due fattori da oltre 600 servizi.
I ricercatori affermano che stanno monitorando questa attività fino a febbraio 2022. Secondo loro, a questa campagna sarebbero associati almeno 107.000 diversi campioni di malware. La maggior parte delle vittime si trova in India e Russia, ma molte vittime sono state trovate anche in Brasile, Messico e Stati Uniti. In totale, gli utenti di 113 paesi in tutto il mondo sono stati colpiti da questa minaccia.
A quanto pare, gli operatori di malware perseguono guadagni finanziari e utilizzano i dispositivi infetti come relè per l’autenticazione e l’anonimizzazione. Il malware per il furto di SMS viene distribuito tramite pubblicità dannosa o tramite bot di Telegram che automatizzano la comunicazione con l’utente.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Quindi, nel primo caso, le vittime seguono link pubblicitari a pagine che imitano il Google Play Store, dove vedono un numero gonfiato di download dell’applicazione, il che dovrebbe creare l’apparenza della sua legittimità e sicurezza.
Nel secondo caso, i bot di Telegram promettono di fornire alle vittime un’app Android piratata, ma chiedono il loro numero di telefono prima di condividere il file APK. Di conseguenza, il bot utilizza il numero ricevuto per creare un nuovo APK, che gli consente di tracciare personalmente l’utente ed effettuare altri attacchi.
Sul dispositivo della vittima, il malware richiede l’autorizzazione per accedere agli SMS, che gli consentono di intercettare le password monouso necessarie per la registrazione dell’account e l’autenticazione a due fattori.
In totale vengono utilizzati circa 2.600 bot di Telegram per promuovere diversi APK, controllati da 13 server di controllo.
I ricercatori hanno scoperto che il malware finisce per trasmettere i messaggi SMS intercettati a uno specifico endpoint API sul sito web fastsms[.]su.
Questo sito offre ai visitatori la possibilità di acquistare l’accesso a numeri di telefono virtuali in paesi stranieri. Tali numeri possono essere utilizzati per l’anonimizzazione e l’autenticazione su varie piattaforme e servizi online. Di conseguenza Zimperium è giunto alla conclusione che i dispositivi infetti vengono utilizzati da questo servizio all’insaputa dei loro proprietari.
RedazioneCloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali V...
Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
