Schadelijke Android-apps Klonen echte services en apps om bankgegevens te stelen

Het begin van 2022 stond bol van het nieuws over mobiele malware. In nog een ander geval van beveiligingsonderzoekers die op Android gebaseerde malware onderschepten, ontdekte een team van ESET een campagne die legitieme apps op de Maleisische markt spooft en deze gebruikte om bankgegevens van slachtoffers te stelen.

Volgens onderzoekers waren er minstens drie afzonderlijke apps bij de campagne betrokken. De nep-Android-apps vervalsen verschillende services en legitieme apps die ermee verbonden zijn en die populair zijn in het Aziatische land.

Schoonmaakservices onder de meeste vervalste apps

De campagne probeerde bankgegevens van slachtoffers te stelen met acht verschillende banken als doelwit. Het lijkt erop dat huishoudservices een zeer populair onderwerp zijn in Maleisië, aangezien de meeste van de vervalste apps apps waren die huishoudservices en schoonmaakdiensten aanbieden. Namen omvatten Grabmaid, Maid4u en Maideasy. Een dierenwinkelservice werd ook vervalst door de kwaadaardige apps.

Hoewel de meeste apps die zijn gekloond en geladen met malware, bestaan als legitieme, afzonderlijke versies in de Google Play Store, hebben sommige services waarvan de hackers de namen hebben misbruikt niet eens een mobiele app op Google Play.

De kern van de aanval bestaat erin dat het slachtoffer de nep-app downloadt en probeert een aankoop te doen voor een product of dienst erin. Natuurlijk wordt er geen product aangeboden door de hackers en is het allemaal een façade. Bij het proberen te kopen, krijgt de klant twee opties, waarvan er één altijd grijs wordt weergegeven, waardoor alleen bankoverschrijving overblijft.

Als een slachtoffer een bankoverschrijving probeert te gebruiken, krijgt hij een scherm te zien met de logo's en namen van acht verschillende Maleisische banken. Zodra het slachtoffer een bankdienst kiest, moeten ze hun inloggegevens invoeren, waarna hun bankgegevens worden verzameld en naar een door een hacker gecontroleerde server worden geëxfiltreerd.

Schadelijke apps kunnen MFA-sms onderscheppen

De hackers hadden zelfs webpagina's opgezet die bij sommige apps passen en dezelfde nepproducten en -diensten aanbieden. De webpagina's dienden als eenvoudige omleidingen, omdat het slachtoffer er simpelweg toe zou worden gestuurd om de kwaadaardige nep-app te downloaden als je er iets op probeert te kopen.

Als laatste truc hebben de hackers achter de campagne de malware ook opgezet om MFA-sms-berichten te onderscheppen die banken als extra beveiliging kunnen gebruiken en naar hun klanten kunnen sturen. Dit betekent niet dat de kwaadaardige campagne onfeilbaar was. De slachtoffers zouden nog steeds MFA-teksten uit het niets ontvangen, zonder enige actie te ondernemen, wanneer de hackers later zouden proberen geld van de rekeningen op te nemen of over te schrijven.