对短信电话验证帐户(PVA)服务的分析发现,一个基于僵尸网络的流氓网站链接了数千个受感染的Android漏洞以进行帐户验证。SMSPVA服务自2018年以来一直很受欢迎,为用户提供了可以在其他在线服务和平台上注册的替代手机号码,并有助于绕过基于SMS的身份验证和单点登录(SSO)机制来验证新帐户。趋势科技研究人员在上周发布的一份报告中说:“黑客可以使用此类服务??大量注册一次性帐户或创建电话验证帐户以实施欺诈和其他犯罪活动。”该公司收集的遥测数据显示,大部分感染病例位于印度尼西亚(约47357例),其次是俄罗斯(约16157例)、泰国(约11196例)、印度(约8109例)、法国(约5548例)、秘鲁(约4915人)、摩洛哥(约4822人)、南非(约4413人)、乌克兰(约2920人)和马来西亚(约2779人)。大多数受影响的设备是Lava、中兴、Mione、魅族、华为、Oppo和HTC等OEM组装的廉价Android手机。下载了阻止短信的恶意软件的安卓手机提供了一项名为smspva[.]net的特殊服务。研究人员怀疑Android手机通过两种方式受到感染:通过用户意外下载的恶意软件;如果在制造过程中将恶意软件预加载到设备中,则意味着供应链中出现了问题。据悉,VPA服务地下市场除了拥有100多个国家/地区的电话号码外,还通过API在各个平台投放“批量虚拟电话号码”供用户使用。Guerrilla恶意软件(“plug.dex”)就其本身而言,主要设计用于解析在受感染的Android手机上收到的SMS消息,根据从远程服务器收到的特定搜索模式检查它们,然后将这些表达式与重新传输泄漏的消息进行匹配回到服务器。研究人员表示:“该恶意软件仍然相对‘低调’,只收集与请求的应用程序匹配的短信,这可能使其能够秘密地继续这项活动很长一段时间。”如果SMSPVA服务允许其客户访问所有新闻,那么设备持有者很快就会发现这些问题。“在用户注册时,在线门户通常通过根据用户的电话号码交叉检查用户的位置(即IP地址)来验证新帐户。SMSPVA服务通过使用住宅代理和VPN连接到所需平台来绕过这一点更重要的是,这些服务只出售账户注册所需的一次性确认码,僵尸网络运营者在所有者不知情和不同意的情况下,使用大量受感染设备接收、检查和报告短信验证码。换言之,僵尸网络可以轻松获取不同国家的数千个手机号码,让犯罪团伙大量注册新账户并用于各种诈骗,甚至进行“协同造假”(即个人或机构开立虚假账户,冒充其他个人或组织,发布虚假信息,企图操纵舆论)。研究人员表示:“存在短信PVA服务进一步削弱了短信验证作为主要账户验证手段的完整性,即存在安全隐患。确保有效性的常用方法,例如将以前与帐户关联的手机号码列入黑名单或识别属于VoIP服务或SMS网关的号码,在SMSPVA能够提供手机号码的规模上是不够的。》参考来源:https://thehackernews.com/2022/02/hackers-exploit-bug-in-sms-verification.html
