一個(gè)針對(duì)SMS電話驗(yàn)證帳戶 (PVA) 服務(wù)的分析發(fā)現(xiàn)，一個(gè)基于僵尸網(wǎng)絡(luò)的流氓網(wǎng)站關(guān)聯(lián)了數(shù)千部受感染的安卓手機(jī)，這再次揭露了依托SMS進(jìn)行賬戶驗(yàn)證的漏洞。

SMS PVA服務(wù)自2018年流行以來(lái)，為用戶提供可在其他在線服務(wù)和平臺(tái)注冊(cè)的替代手機(jī)號(hào)碼，并幫助繞過基于SMS的身份驗(yàn)證和單點(diǎn)登錄 (SSO) 機(jī)制來(lái)驗(yàn)證新帳戶。

趨勢(shì)科技研究人員在上周發(fā)布的一份報(bào)告中表示： “黑客可以使用此類服務(wù)批量注冊(cè)一次性帳戶或創(chuàng)建電話驗(yàn)證帳戶，以此進(jìn)行欺詐和其他犯罪活動(dòng)。”

該公司收集的遙測(cè)數(shù)據(jù)顯示，大部分感染案例位于印度尼西亞(數(shù)量約為47357)，其次是俄羅斯(數(shù)量約為16157)、泰國(guó)(數(shù)量約為11196)、印度(數(shù)量約為8109)、法國(guó)(數(shù)量約為5548)、秘魯(數(shù)量約為4915)、摩洛哥(數(shù)量約為4822)、南非 (數(shù)量約為4413)、烏克蘭 (數(shù)量約為2920) 和馬來(lái)西亞 (數(shù)量約為2779)。

大多數(shù)受影響的設(shè)備是由Lava、中興、Mione、魅族、華為、Oppo和HTC等原始設(shè)備制造商組裝的廉價(jià)安卓手機(jī)。

下載了SMS攔截惡意軟件的安卓手機(jī)提供了一項(xiàng)名為 smspva[.]net的特殊服務(wù)，研究人員懷疑安卓手機(jī)感染主要是利用以下兩種方式：一是通過用戶意外下載的惡意軟件;二是通過在制造過程中預(yù)裝到設(shè)備中的惡意軟件，這意味著供應(yīng)鏈環(huán)節(jié)出現(xiàn)了問題。

據(jù)說(shuō)，VPA服務(wù)地下市場(chǎng)除了擁有超100 多個(gè)國(guó)家/地區(qū)的電話號(hào)碼外，還通過API在各種平臺(tái)上宣傳“批量虛擬電話號(hào)碼”以供使用。

Guerrilla惡意軟件(“ plug.dex ”)就其本身而言，主要是用來(lái)解析感染安卓手機(jī)上接收到的 SMS消息，根據(jù)遠(yuǎn)程服務(wù)器接收到的特定搜索模式檢查它們，然后將與這些表達(dá)式匹配的已經(jīng)泄露的消息重新傳回服務(wù)器。

研究人員說(shuō)：“惡意軟件還是比較’低調(diào)’，只收集與請(qǐng)求的應(yīng)用程序匹配的文本消息，這可以讓它秘密地長(zhǎng)時(shí)間繼續(xù)這種活動(dòng)。如果SMS PVA服務(wù)允許其客戶訪問受感染手機(jī)上的所有消息，那么設(shè)備持有人很快就會(huì)發(fā)現(xiàn)這些問題。”

在用戶注冊(cè)的時(shí)候，在線門戶網(wǎng)站通常通過交叉檢查用戶的位置(即IP地址)與他們的電話號(hào)碼來(lái)驗(yàn)證新帳戶，SMS PVA服務(wù)通過使用住宅代理和連接到所需的平臺(tái)的VPN來(lái)繞過這個(gè)限制。

更重要的是，這些服務(wù)只出售賬戶注冊(cè)時(shí)所需的一次性確認(rèn)碼，僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商在未經(jīng)所有者知情和同意的情況下，使用大量受感染設(shè)備接收、檢查和報(bào)告短信驗(yàn)證碼。

換句話說(shuō)，僵尸網(wǎng)絡(luò)可以輕松訪問不同國(guó)家的數(shù)千個(gè)手機(jī)號(hào)碼，讓犯罪團(tuán)伙能夠大量注冊(cè)新賬戶并將其用于各種詐騙，甚至參與“協(xié)同造假行為”(即個(gè)人或者機(jī)構(gòu)開設(shè)虛假賬號(hào)，偽裝成其他個(gè)人或者組織，發(fā)布虛假信息，試圖操縱公眾輿論的行為)。

研究人員說(shuō)：“SMS PVA服務(wù)的存在進(jìn)一步削弱了短信驗(yàn)證作為帳戶驗(yàn)證主要手段的完整性，即存在安全風(fēng)險(xiǎn)隱患。從SMS PVA能夠提供手機(jī)號(hào)碼的規(guī)模來(lái)看，確保有效性的常用方法是是不夠的，例如，將以前與帳戶相關(guān)聯(lián)的手機(jī)號(hào)碼或識(shí)別屬于VoIP服務(wù)或SMS網(wǎng)關(guān)的號(hào)碼列入黑名單。”

參考來(lái)源：

https://thehackernews.com/2022/02/hackers-exploit-bug-in-sms-verification.html?