Skadliga Android-appar klonar riktiga tjänster och appar för att stjäla bankinformation

Början av 2022 har varit full av nyheter om mobil skadlig programvara. I ytterligare ett fall av säkerhetsforskare som avlyssnade Android-baserad skadlig programvara, upptäckte ett team med ESET en kampanj som förfalskade legitima appar på den malaysiska marknaden och använde dem för att stjäla offrens bankinformation.

Minst tre separata appar var involverade i kampanjen, enligt forskare. De falska Android-apparna förfalskade olika tjänster och legitima appar associerade med dem som är populära i det asiatiska landet.

Städtjänster bland de flesta falska appar

Kampanjen försökte stjäla offerts bankuppgifter med åtta olika banker. Det verkar som att städtjänster är ett mycket hett ämne i Malaysia, eftersom majoriteten av apparna som förfalskades var sådana som erbjuder städning och städservice. Namnen inkluderade Grabmaid, Maid4u och Maideasy. En djuraffärstjänst förfalskades också av de skadliga apparna.

Medan majoriteten av appar som klonades och laddades med skadlig programvara existerar som legitima, separata versioner i Google Play Butik, har vissa av tjänsterna vars namn hackarna missbrukade inte ens en mobilapp på Google Play.

Kontentan av attacken består i att offret laddar ner den falska appen och försöker göra ett köp för en produkt eller tjänst inuti den. Naturligtvis finns det ingen produkt som erbjuds av hackarna och allt är en fasad. När kunden försöker köpa får kunden två alternativ, varav ett alltid är nedtonat, vilket bara lämnar banköverföring.

Om ett offer försöker använda banköverföring visas en skärm med logotyperna och namnen på åtta olika malaysiska banker. När offret väl väljer en banktjänst måste de ange sina referenser, då deras bankinformation samlas in och exfiltreras till en hackerkontrollerad server.

Skadliga appar kan avlyssna MFA-sms

Hackarna hade till och med skapat webbsidor som skulle passa med några av apparna och erbjöd samma falska produkter och tjänster. Webbsidorna fungerade som enkla omdirigeringar eftersom ett försök att köpa något på dem helt enkelt skulle skicka offret till nedladdningen av den skadliga falska appen.

Som ett sista knep satte hackarna bakom kampanjen också in skadlig programvara för att fånga upp MFA-sms som banker kan använda som extra säkerhet och skicka till sina kunder. Detta betyder inte att den skadliga kampanjen var idiotsäker. Offren skulle fortfarande få MFA-texter från ingenstans, utan att vidta några åtgärder, när hackarna senare skulle försöka ta ut eller överföra pengar från kontona.