Schädliche Android-Apps klonen echte Dienste und Apps, um Bankinformationen zu stehlen

Der Beginn des Jahres 2022 war voll von Nachrichten über mobile Malware. In einem weiteren Fall, in dem Sicherheitsforscher Android-basierte Malware abgefangen haben, entdeckte ein Team von ESET eine Kampagne, die legitime Apps auf dem malaysischen Markt fälschte und sie benutzte, um die Bankdaten der Opfer zu stehlen.

Laut Forschern waren mindestens drei separate Apps an der Kampagne beteiligt. Die gefälschten Android-Apps fälschten verschiedene Dienste und damit verbundene legitime Apps, die in dem asiatischen Land beliebt sind.

Haushaltshilfe unter den meisten gefälschten Apps

Die Kampagne versuchte, die Bankdaten der Opfer zu stehlen, wobei acht verschiedene Banken ins Visier genommen wurden. Es scheint, dass Hausmädchendienste in Malaysia ein sehr heißes Thema sind, da die Mehrheit der gespooften Apps solche waren, die Hausreinigungs- und Haushaltshilfedienste anboten. Zu den Namen gehörten Grabmaid, Maid4u und Maideasy. Auch ein Tierhandlungsdienst wurde von den bösartigen Apps gespooft.

Während die Mehrheit der Apps, die geklont und mit Malware geladen wurden, als legitime, separate Versionen im Google Play Store existieren, haben einige der Dienste, deren Namen die Hacker missbraucht haben, nicht einmal eine mobile App bei Google Play.

Der Kern des Angriffs besteht darin, dass das Opfer die gefälschte App herunterlädt und versucht, ein Produkt oder eine darin enthaltene Dienstleistung zu kaufen. Natürlich gibt es kein Produkt, das von den Hackern angeboten wird, und es ist alles nur Fassade. Beim Kaufversuch erhält der Kunde zwei Optionen, von denen eine immer ausgegraut ist und nur die Banküberweisung übrig bleibt.

Wenn ein Opfer versucht, eine Banküberweisung zu verwenden, wird ihm ein Bildschirm mit den Logos und Namen von acht verschiedenen malaysischen Banken gezeigt. Sobald das Opfer einen Bankdienst auswählt, muss es seine Zugangsdaten eingeben, woraufhin seine Bankdaten gesammelt und auf einen von Hackern kontrollierten Server exfiltriert werden.

Schädliche Apps könnten MFA-SMS abfangen

Die Hacker hatten sogar Webseiten für einige der Apps eingerichtet, die dieselben gefälschten Produkte und Dienstleistungen anboten. Die Webseiten dienten als einfache Weiterleitungen, da der Versuch, etwas auf ihnen zu kaufen, das Opfer einfach zum Download der bösartigen gefälschten App führen würde.

Als letzten Trick richteten die Hacker hinter der Kampagne die Malware auch ein, um MFA-SMS-Nachrichten abzufangen, die Banken als zusätzliche Sicherheit verwenden und an ihre Kunden senden könnten. Das bedeutet nicht, dass die böswillige Kampagne narrensicher war. Die Opfer erhielten immer noch MFA-Texte aus dem Nichts, ohne etwas zu unternehmen, wenn die Hacker später versuchten, Geld von den Konten abzuheben oder zu überweisen.