Ondsinnede Android-apper kloner ekte tjenester og apper for å stjele bankinformasjon

Starten av 2022 har vært full av nyheter om mobil malware. I enda et tilfelle av sikkerhetsforskere som fanget opp Android-basert malware, oppdaget et team med ESET en kampanje som forfalsket legitime apper på det malaysiske markedet og brukte dem til å stjele ofrenes bankinformasjon.

Minst tre separate apper var involvert i kampanjen, ifølge forskere. De falske Android-appene forfalsket forskjellige tjenester og legitime apper knyttet til dem som er populære i det asiatiske landet.

Hushjelptjenester blant de fleste forfalskede appene

Kampanjen forsøkte å stjele offerets banklegitimasjon med åtte forskjellige målrettede banker. Det ser ut til at hushjelptjenester er et veldig hett tema i Malaysia, ettersom flertallet av appene som ble forfalsket var de som tilbyr rengjøring og hushjelp. Navnene inkluderte Grabmaid, Maid4u og Maideasy. En dyrebutikktjeneste ble også forfalsket av de ondsinnede appene.

Mens flertallet av apper som ble klonet og lastet med skadelig programvare eksisterer som legitime, separate versjoner i Google Play Store, har noen av tjenestene hvis navn hackerne misbrukte ikke engang en mobilapp på Google Play.

Hovedsaken i angrepet består i at offeret laster ned den falske appen og prøver å kjøpe et produkt eller en tjeneste inne i den. Selvfølgelig er det ingen produkter som tilbys av hackerne, og det hele er en fasade. Når kunden prøver å kjøpe, får kunden to alternativer, hvorav ett alltid er nedtonet, og bare bankoverføring er igjen.

Hvis et offer forsøker å bruke bankoverføring, vises et skjermbilde som inneholder logoene og navnene til åtte forskjellige malaysiske banker. Når offeret velger en banktjeneste, må de oppgi legitimasjonen sin, hvoretter bankinformasjonen deres samles inn og eksfiltreres til en hackerkontrollert server.

Ondsinnede apper kan avskjære MFA SMS

Hackerne hadde til og med satt opp nettsider som passer til noen av appene, og tilbyr de samme falske produktene og tjenestene. Nettsidene fungerte som enkle omdirigeringer fordi forsøk på å kjøpe noe på dem ville ganske enkelt sende offeret til nedlastingen av den ondsinnede falske appen.

Som et siste triks satte hackerne bak kampanjen også opp skadelig programvare for å avskjære MFA SMS-meldinger som banker kan bruke som ekstra sikkerhet og sende til kundene sine. Dette betyr ikke at den ondsinnede kampanjen var idiotsikker. Ofrene ville fortsatt motta MFA-tekster fra ingensteds, uten å gjøre noe, når hackerne senere ville forsøke å ta ut eller overføre penger fra kontoene.