Trend Micro ha scoperto un probabile attacco alla supply chain ai danni di smartphone Android infetti: l’attività malevola avviene tramite servizi di una piattaforma malevola di phone-verified account (PVA) via SMS.
La piattaforma sfrutta smartphone Android infetti, attraverso una vulnerabilità che fa affidamento su un sistema di validazione degli account tramite SMS.
“Per quanto ormai piuttosto inutilizzati nella vita quotidiana – a favore di instant messenger come WhatsApp o Telegram”, commenta Paolo Dal Checco, consulente informatico forense, “gli SMS hanno ancora un impiego strategico nell’ambito del riconoscimento e verifica degli utenti. Come ben sanno le vittime di truffe di tipo SIM Swap, pochi elementi godono ancora di così ampia credibilità nell’identificare gli utenti quanto – purtroppo e immeritatamente – i messaggi di testo e, in generale, le utenze telefoniche”.
Indice degli argomenti
I sistemi di verifica via SMS
“Oltre che per servizi di 2FA – autenticazione a due fattori“, spiega Paolo Dal Checco, “gli SMS vengono ampiamente utilizzati come conferma di registrazione per nuove utenze da parte di numerosi servizi – social network, account di posta, cloud, eccetera – forti del fatto che la ricezione di un SMS implica innanzitutto l’esistenza di una numerazione telefonica e, quindi, presumibilmente di un essere umano o quantomeno di un contratto con identificazione dell’utente, in particolari in Paesi dove la registrazione di una SIM implica pratiche di KYC. Si consideri, tra l’altro, che ormai si sistemi di verifica tramite SMS sono in grado di riconoscere utenze virtuali o estere, registrate in Paesi senza KYC, attribuendo minor valore a verifiche occorse su tali numerazioni“.
L’enorme valore di ogni SMS ricevuto
“Per questo motivo, ogni SMS ricevuto da un’utenza ‘reale’ (configurata cioè su di uno smartphone e, possibilmente, intestato a numerazione su territori con procedure di verifica anagrafica in fase contrattuale) ha un valore enorme per chi deve attribuire una valutazione circa l’effettiva esistenza di un soggetto che sta eseguendo una registrazione online”, sottolinea Dal Checco. E continua: “è qui che entrano in gioco i malware che infettano smartphone di migliaia di utenti permettendone l’utilizzo a servizi di verifica tramite autenticazione telefonica, trasformando così ignari utenti in titolari di servizi registrati a loro insaputa“.
Muli e sock puppets
“Chiaramente questi trojan”, prosegue l’esperto di cyber security e consulente informatico forense, “devono avere sistemi di filtro, per evitare che le vittime si accorgano di essere diventate dei ‘muli’ per far transitare SMS di autenticazione da numerosi servizi di cui loro non sono e non saranno mai a conoscenza, grazie al fatto che il tutto avviene sotto i loro occhi, anzi, all’interno del loro telefono“.
Tra l’altro, prosegue Dal Checco, “gli SMS di autenticazione su utenze ‘anonime’ non sono utilizzati soltanto in ambito criminale ma, talvolta, anche in contesti di threat intelligence od OSINT, da parte di chi utilizza servizi di SMS Phone Verified Account per la creazione dei cosiddetti ‘sock puppets’ – profili ‘fake’ spesso indispensabili per condurre attività d’indagine in incognito o su siti/servizi presso i quali si vuole evitare di registrarsi con un account intestato alla propria utenza telefonica”. “Certamente, con la consapevolezza che ora è emersa circa le modalità illecita con le quali questi servizi vengono forniti, anche i ricercatori di sicurezza che ne facevano uso si spera tenderanno a valutare con maggiore attenzione la provenienza di utenze usa e getta“, conclude Dal Checco.
Quali sono gli smartphone Android infetti
Gli smartphone Android infetti sono dispositivi Android low-cost di Lava, ZTE, Mione, Meizu, Huawei, Oppo e HTC.
I Paesi più colpiti dall’infezione
Dai data raccolti con la telemetria, Trend Micro ha scoperto che la maggior parte delle infezioni sono localizzate nei seguenti Paesi:
- Indonesia (47,357);
- Russia (16,157);
- Tailandia (11,196);
- India (8,109);
- Francia (5,548);
- Peru (4,915);
- Marocco (4,822);
- Sud Africa (4,413);
- Ucraina (2,920);
- Malesia (2,779).
Contro gli smartphone Android potrebbe essere attacco alle supply-chain
Come dicevamo, il servizio denominato smspva[.]net sfrutta smartphone Android infetti con un malware in grado di intercettare SMS. I ricercatori sospettano che l’infezione si diffonda in due modalità:
- mediante il download accidentale di malware;
- attraverso software malevolo pre-caricato sui device nella fase di produzione, quindi attraverso un attacco alle supply-chain.
Il vettore d’attacco
I sevizi SMS PVA, da quando hanno acquisito popolarità nel 2018, forniscono agli utenti numeri mobili alternativi da usare per registrarsi a servizi online e piattaforme. I servizi phone-verified account (PVA) via SMS permettono di bypassare i sistemi di autenticazione basati su SMS e meccanismi di single sign-on (SSO) per verificare i nuovi account. “Questa tipologia di servizi può essere usata da attori malevoli per registrare account usa-e-getta in modo massiccio o creare phone-verified accounts per condurre frodi ed altre attività criminali”, hanno dichiarato i ricercatori di Trend Micro in un loro report.
Come proteggersi dall’attacco ai sistemi di verifica via SMS
Come sempre, non possiamo abbassare la guardia. Dal puntodi vista degli utenti è fondamentale evitare download non importanti e scaricare software solo da store ufficiali delle applicazioni. Ma, in caso di attacco alla supply chain, i vettori di attacco sono numerosi:
- infezioni via malware;
- social engineering (phishing);
- attacchi brute-force;
- exploit di vulnerbilità.
Dal report 2021 di Enisa, intitolato “Threat Landscape For supply chain Attacks”, emerge che nel 66% dei casi le cause non sono note: indice di mancanza di trasparenza e/o di capacità di indagare. In ogni caso ciò mina la fiducia dei consumatori nei vendor colpiti da questa tipologia di attacco.
