https://thehackernews.com/2022/02/hackers-exploit-bug-in-sms-verification.html
SMS電話検証済みアカウント(PVA)サービスの分析により、何千もの感染したAndroid電話が関与するボットネット上に構築された不正なプラットフォームが発見され、アカウント検証をSMSに依存することの欠陥が再び強調されました。
SMS PVAサービスは、2018年に普及して以来、他のオンラインサービスやプラットフォームへの登録に使用できる代替の携帯電話番号をユーザーに提供し、検証のために導入されたSMSベースの認証とシングルサインオン(SSO)メカニズムをバイパスするのに役立ちます新しいアカウント。
トレンドマイクロの研究者は先週発表されたレポートで、「このタイプのサービスは、悪意のある攻撃者が使い捨てアカウントをまとめて登録したり、詐欺やその他の犯罪行為を行うための電話で確認されたアカウントを作成したりするために使用される可能性がある」と述べた。
] netと呼ばれる特定のサービスは、SMSを傍受するマルウェアに感染したAndroidスマートフォンで構成されています。
「SMSPVAサービスにより、顧客が感染した電話のすべてのメッセージにアクセスできる場合、所有者はすぐに問題に気付くでしょう。」
さらに、これらのサービスは、アカウント登録時に必要な1回限りの確認コードのみを販売し、ボットネットオペレーターは、所有者の知らないうちに同意なしに、侵害されたデバイスの軍隊を使用してSMS検証コードを受信、調査、および報告します。
感染したAndroidデバイスを悪用して使い捨てアカウントを登録するハッカーnoreply@blogger.com(Ravie Lakshmanan)
security summary
コメント