Em agosto de 2024, a ISH Tecnologia, referência nacional em cibersegurança, emitiu um alerta sobre uma nova campanha de ataque que utiliza o Trojan Stealer-SMS para infectar dispositivos Android. Segundo a empresa, o malware é distribuído por meio de bots do Telegram e tem como objetivo roubar informações sensíveis, como senhas 2FA e mensagens SMS.
Métodos de Infecção
Os pesquisadores da ISH Tecnologia detalharam o funcionamento do Stealer-SMS, identificando cinco fases distintas na cadeia de infecção:
- Instalação do aplicativo: O usuário é induzido a baixar um aplicativo malicioso, disfarçado de legítimo, através de anúncios falsos ou bots do Telegram.
- Solicitação de permissões: O aplicativo solicita permissões de leitura de mensagens SMS, uma prática que pode expor dados pessoais sensíveis.
- Recuperação do servidor C&C: O malware se conecta a um servidor de Comando e Controle (C&C) para iniciar a coleta de dados.
- Comunicação C&C: O dispositivo infectado comunica-se com o servidor, enviando informações roubadas.
Colheita de OTP: O malware intercepta mensagens SMS, focando em códigos OTP para verificação de contas.
Impacto global
A campanha do Stealer-SMS já comprometeu dispositivos em 113 países, com Rússia e Índia sendo os principais alvos. Mais de 107.000 amostras de malware foram identificadas, sendo que a maioria não estava disponível em repositórios conhecidos. Além disso, cerca de 2.600 bots do Telegram foram associados à distribuição do malware.
Medidas de proteção
A ISH Tecnologia recomenda que os usuários evitem baixar aplicativos de fontes não oficiais, revisem as permissões concedidas a aplicativos, implementem soluções de defesa móvel e mantenham seus dispositivos atualizados. A empresa também enfatiza a importância da educação do usuário para mitigar ameaças como o Stealer-SMS.
