Eine Analyse von SMS Phone Verified Account (PVA)-Diensten hat zur Entdeckung einer betrügerischen Plattform geführt, die auf einem Botnetz mit Tausenden von infizierten Android-Telefonen aufbaut. Dies unterstreicht einmal mehr die Schwachstellen, die bei der Kontoprüfung per SMS auftreten können.
SMS-PVA-Dienste, die sich seit 2018 immer weiter verbreiten, bieten Nutzern alternative Handynummern, mit denen sie sich bei anderen Online-Diensten und Plattformen anmelden können, und helfen dabei, SMS-basierte Authentifizierungs- und Single-Sign-On-Mechanismen (SSO) zu umgehen, die zur Überprüfung neuer Konten eingerichtet wurden.
„Diese Art von Dienst kann von böswilligen Akteuren genutzt werden, um massenhaft Wegwerfkonten zu registrieren oder telefonverifizierte Konten für Betrug und andere kriminelle Aktivitäten zu erstellen“, so die Trend Micro Forscher in einem letzte Woche veröffentlichten Bericht.
Die vom Unternehmen gesammelten Telemetriedaten zeigen, dass sich die meisten Infektionen in Indonesien (47.357) befinden, gefolgt von Russland (16.157), Thailand (11.196), Indien (8.109) und Frankreich (5.548), Peru (4.915), Marokko (4.822), Südafrika (4.413), der Ukraine (2.920) und Malaysia (2.779).
Bei den meisten betroffenen Geräten handelt es sich um günstige Android-Telefone von Originalherstellern wie Lava, ZTE, Mione, Meizu, Huawei, Oppo und HTC.
Ein bestimmter Dienst namens smspva[.]net besteht aus Android-Handys, die mit SMS-abfangender Malware infiziert sind. Die Forscher vermuten, dass dies auf zwei Arten geschehen sein könnte: durch Malware, die der Nutzer versehentlich heruntergeladen hat, oder durch bösartige Software, die während der Herstellung auf die Geräte geladen wurde, was auf eine Kompromittierung der Lieferkette schließen lässt.
Der Untergrunddienst VPA bietet über eine API „massenhaft virtuelle Telefonnummern“ zur Nutzung auf verschiedenen Plattformen an und behauptet, im Besitz von Telefonnummern aus über 100 Ländern zu sein.
Die Guerrilla-Malware („plug.dex“) wurde so entwickelt, dass sie die auf dem betroffenen Android-Telefon empfangenen SMS-Nachrichten analysiert, sie mit bestimmten Suchmustern vergleicht, die von einem entfernten Server empfangen wurden, und dann die Nachrichten, die mit diesen Ausdrücken übereinstimmen, an den Server zurückschickt.
„Die Malware bleibt unauffällig und sammelt nur die Textnachrichten, die mit der angeforderten Anwendung übereinstimmen, so dass sie diese Aktivität über lange Zeiträume hinweg unbemerkt fortsetzen kann“, so die Forscher. „Wenn der SMS-PVA-Dienst seinen Kunden den Zugriff auf alle Nachrichten auf den infizierten Telefonen ermöglicht, würden die Besitzer das Problem schnell bemerken.
Da Online-Portale neue Konten oft dadurch authentifizieren, dass sie bei der Registrierung den Standort (d.h. die IP-Adresse) der Nutzer/innen mit deren Telefonnummern abgleichen, umgehen SMS-PVA-Dienste diese Einschränkung, indem sie Proxys und VPNs nutzen, um sich mit der gewünschten Plattform zu verbinden.
Darüber hinaus verkaufen diese Dienste nur die einmaligen Bestätigungscodes, die zum Zeitpunkt der Kontoregistrierung benötigt werden, wobei der Botnetzbetreiber die Armee der kompromittierten Geräte nutzt, um die SMS-Verifizierungscodes ohne das Wissen und die Zustimmung der Besitzer zu empfangen, zu prüfen und zu melden.
Mit anderen Worten: Das Botnet erleichtert den Zugang zu Tausenden von Handynummern in verschiedenen Ländern und ermöglicht es den Akteuren, massenhaft neue Konten zu registrieren und sie für verschiedene Betrügereien oder sogar für koordiniertes, nicht authentisches Nutzerverhalten zu nutzen.
„Das Vorhandensein von SMS-PVA-Diensten stellt die Integrität der SMS-Verifizierung als primäres Mittel der Kontoprüfung in Frage“, so die Forscher.
„Das Ausmaß, in dem SMS PVA in der Lage ist, Handynummern zu liefern, bedeutet, dass die üblichen Methoden zur Sicherstellung der Gültigkeit – wie die Sperrung von Handynummern, die zuvor mit Kontomissbrauch in Verbindung gebracht wurden, oder die Identifizierung von Nummern, die zu VoIP-Diensten oder SMS-Gateways gehören – nicht mehr ausreichen werden.