一個(gè)針對(duì)SMS電話(huà)驗(yàn)證帳戶(hù) (PVA) 服務(wù)的分析發(fā)現(xiàn)，一個(gè)基于僵尸網(wǎng)絡(luò)的流氓網(wǎng)站關(guān)聯(lián)了數(shù)千部受感染的安卓手機(jī)，這再次揭露了依托SMS進(jìn)行賬戶(hù)驗(yàn)證的漏洞。

SMS PVA服務(wù)自2018年流行以來(lái)，為用戶(hù)提供可在其他在線(xiàn)服務(wù)和平臺(tái)注冊(cè)的替代手機(jī)號(hào)碼，并幫助繞過(guò)基于SMS的身份驗(yàn)證和單點(diǎn)登錄 (SSO) 機(jī)制來(lái)驗(yàn)證新帳戶(hù)。

趨勢(shì)科技研究人員在上周發(fā)布的一份報(bào)告中表示： “黑客可以使用此類(lèi)服務(wù)批量注冊(cè)一次性帳戶(hù)或創(chuàng)建電話(huà)驗(yàn)證帳戶(hù)，以此進(jìn)行欺詐和其他犯罪活動(dòng)?！?/p>

該公司收集的遙測(cè)數(shù)據(jù)顯示，大部分感染案例位于印度尼西亞(數(shù)量約為47357)，其次是俄羅斯(數(shù)量約為16157)、泰國(guó)(數(shù)量約為11196)、印度(數(shù)量約為8109)、法國(guó)(數(shù)量約為5548)、秘魯(數(shù)量約為4915)、摩洛哥(數(shù)量約為4822)、南非 (數(shù)量約為4413)、烏克蘭 (數(shù)量約為2920) 和馬來(lái)西亞 (數(shù)量約為2779)。

大多數(shù)受影響的設(shè)備是由Lava、中興、Mione、魅族、華為、Oppo和HTC等原始設(shè)備制造商組裝的廉價(jià)安卓手機(jī)。

下載了SMS攔截惡意軟件的安卓手機(jī)提供了一項(xiàng)名為 smspva[.]net的特殊服務(wù)，研究人員懷疑安卓手機(jī)感染主要是利用以下兩種方式：一是通過(guò)用戶(hù)意外下載的惡意軟件;二是通過(guò)在制造過(guò)程中預(yù)裝到設(shè)備中的惡意軟件，這意味著供應(yīng)鏈環(huán)節(jié)出現(xiàn)了問(wèn)題。

據(jù)說(shuō)，VPA服務(wù)地下市場(chǎng)除了擁有超100 多個(gè)國(guó)家/地區(qū)的電話(huà)號(hào)碼外，還通過(guò)API在各種平臺(tái)上宣傳“批量虛擬電話(huà)號(hào)碼”以供使用。

Guerrilla惡意軟件(“ plug.dex ”)就其本身而言，主要是用來(lái)解析感染安卓手機(jī)上接收到的 SMS消息，根據(jù)遠(yuǎn)程服務(wù)器接收到的特定搜索模式檢查它們，然后將與這些表達(dá)式匹配的已經(jīng)泄露的消息重新傳回服務(wù)器。

研究人員說(shuō)：“惡意軟件還是比較’低調(diào)’，只收集與請(qǐng)求的應(yīng)用程序匹配的文本消息，這可以讓它秘密地長(zhǎng)時(shí)間繼續(xù)這種活動(dòng)。如果SMS PVA服務(wù)允許其客戶(hù)訪(fǎng)問(wèn)受感染手機(jī)上的所有消息，那么設(shè)備持有人很快就會(huì)發(fā)現(xiàn)這些問(wèn)題?！?/p>

在用戶(hù)注冊(cè)的時(shí)候，在線(xiàn)門(mén)戶(hù)網(wǎng)站通常通過(guò)交叉檢查用戶(hù)的位置(即IP地址)與他們的電話(huà)號(hào)碼來(lái)驗(yàn)證新帳戶(hù)，SMS PVA服務(wù)通過(guò)使用住宅代理和連接到所需的平臺(tái)的VPN來(lái)繞過(guò)這個(gè)限制。

更重要的是，這些服務(wù)只出售賬戶(hù)注冊(cè)時(shí)所需的一次性確認(rèn)碼，僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商在未經(jīng)所有者知情和同意的情況下，使用大量受感染設(shè)備接收、檢查和報(bào)告短信驗(yàn)證碼。

換句話(huà)說(shuō)，僵尸網(wǎng)絡(luò)可以輕松訪(fǎng)問(wèn)不同國(guó)家的數(shù)千個(gè)手機(jī)號(hào)碼，讓犯罪團(tuán)伙能夠大量注冊(cè)新賬戶(hù)并將其用于各種詐騙，甚至參與“協(xié)同造假行為”(即個(gè)人或者機(jī)構(gòu)開(kāi)設(shè)虛假賬號(hào)，偽裝成其他個(gè)人或者組織，發(fā)布虛假信息，試圖操縱公眾輿論的行為)。

研究人員說(shuō)：“SMS PVA服務(wù)的存在進(jìn)一步削弱了短信驗(yàn)證作為帳戶(hù)驗(yàn)證主要手段的完整性，即存在安全風(fēng)險(xiǎn)隱患。從SMS PVA能夠提供手機(jī)號(hào)碼的規(guī)模來(lái)看，確保有效性的常用方法是是不夠的，例如，將以前與帳戶(hù)相關(guān)聯(lián)的手機(jī)號(hào)碼或識(shí)別屬于VoIP服務(wù)或SMS網(wǎng)關(guān)的號(hào)碼列入黑名單?！?/p>

參考來(lái)源：

https://thehackernews.com/2022/02/hackers-exploit-bug-in-sms-verification.html?