一个在 Google Play 商店中有 100,000 次下载的假冒 Android SMS 应用程序被发现秘密充当 Microsoft、Google、Instagram、Telegram 和 Facebook 等网站的帐户创建服务的 SMS 中继。
一位研究人员表示,受感染的设备随后会作为“虚拟号码”出租,用于中继用于在创建新帐户时验证用户的一次性密码。
虽然该应用程序的总体评分为 3.4,但许多用户评论抱怨它是假的,会劫持他们的手机,并在安装时生成多个 OTP(一次性密码)。
“假应用程序我只是下载了这个应用程序 4-5 次的 OTP 由谷歌、Airtel 支付、银行 OTP、dream11 OTP 等。OTP 类型在登录时出现,”其中一条评论写道。
Symoo 是由 Evina 的安全研究员 Maxime Ingrao 发现的,他向谷歌报告了它,但尚未收到 Android 团队的回复。在撰写本文时,该应用程序仍在 Google Play 上可用。
news.zzqidc.com还就 Symoo 问题联系了 Google,我们将在收到回复后立即更新此故事。
路由 2FA 代码
在设备上安装后,该应用程序请求访问发送和读取 SMS,这听起来很正常,因为 Symoo 将自己定位为“易于使用”的 SMS 应用程序。
在第一个屏幕上,它要求用户提供他们的电话号码;之后,它覆盖了一个假的加载屏幕,据称显示了加载资源的进度。
然而,这个过程被延长了,允许远程操作员发送多个 2FA(双因素身份验证)SMS 文本以在各种服务上创建帐户,读取它们的内容,并将其转发回操作员。
完成后,应用程序将冻结,永远不会到达承诺的 SMS 界面,因此用户通常会卸载它。
到这个时候,该应用程序已经使用安卓用户的电话号码在各种在线平台上生成虚假账户,评论者表示,他们的消息现在充满了他们从未创建过的账户的一次性密码。
出售帐户
由于电话号码通常是验证帐户的唯一可能方式,因此想要从事非法或匿名活动的人会发现这些假名帐户很有用。
此外,Maxime Ingrao 发现 Symoo 应用程序将 SMS 数据泄露到另一个应用程序“虚拟号码”使用的域,该应用程序曾在 Google Play 上出现过,但后来被删除了。
“虚拟号码”应用程序的开发者还在 Google Play 上创建了另一个名为“ActivationPW – 虚拟号码”的应用程序,该应用程序下载了 10,000 次,它提供了“来自 200 多个国家/地区的在线号码”,您可以使用它来创建帐户。
使用此应用程序,用户可以以不到 50 美分的价格“租用”一个号码,并且在许多情况下,可以使用该号码来验证帐户。
虽然未经证实,但据信 Symoo 应用程序用于接收和转发人们使用 ActivationPW 创建帐户时生成的 OTP 验证码。
如果您正在使用这些应用程序,您应该卸载它们,否则的话,因为它们会将您的 SMS 内容复制到它们自己的服务器上。
他们的隐私政策也披露了这种行为,尽管他们说这是“垃圾邮件拦截和备份服务”。
“收入短信(我们将短信存储为垃圾邮件块的一部分,并使用我们的第三方平台、云存储或电信提供商备份服务。(请注意,我们不会以其他方式与第三方共享这些录音),”Symoo 隐私声明中写道政策。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 发现恶意Android应用程序支持帐户创建服务
