Adware verbreitet sich über gefälschte TikTok-App, Laptop-Angebote

Cyber Security News

Die Cyberkriminellen fordern die Nutzer auf, die “Angebote” auch über WhatsApp an ihre Freunde zu versenden.

Bösartige Android-Apps, die als TikTok und Angebote für kostenlose Lenovo-Laptops getarnt sind, werden in Ad-Stuffing-Angriffen verwendet, die gegen Geräte im Jio-Telekommunikationsnetz in Indien laufen, warnen Sicherheitsforscher.

Forscher von Zscaler berichten, dass dieser Bedrohungsakteur seit März 2020 verschiedene Phishing-Betrügereien betreibt, die alle aktuelle Schlagzeilen als Köder verwenden.

Die neuesten Social-Engineering-Nachrichten versuchen, Benutzer davon zu überzeugen, ihre gefälschte Version von TikTok herunterzuladen, indem sie sagen, dass die App, die in Indien verboten ist, jetzt verfügbar ist, so der Bericht. Ein anderer Betrug gaukelt den Opfern vor, dass sie Anspruch auf einen kostenlosen Lenovo-Laptop haben, der von der indischen Regierung zur Verfügung gestellt wird.

Der Jio-Benutzer-Angriff

“Die betroffene Malware weist Merkmale auf, die auch in anderen Familien häufig zu finden sind, z.B. folgt sie gängigen Methoden der Persistenz und der Verbreitung über die Kontaktinformationen der Opfer”, so Deepen Desai, CISO von Zscaler, gegenüber Threatpost. “Die Angriffskampagne ist ziemlich gezielt und nutzt vertrauenswürdige Ressourcen wie Weebly und GitHub, um die bösartigen Inhalte an die Opfer zu verteilen.”

Gezielt, aber weit verbreitet: Jio Telecom bedient mehr als die Hälfte der indischen Internetabonnenten, die laut einem Bericht der indischen Regulierungsbehörde für Telekommunikation vom März 2020 bei 743 Millionen Menschen liegen.

Er fügte hinzu, dass das Zscaler-Team mehr als 200 bösartige Android-Apps beobachtete, die “Themen mit Bezug zum aktuellen Geschehen in Indien verwenden.”

Die Opfer werden aufgefordert, die gefälschte TikTok-App über WhatsApp zu teilen – sobald sie 10 Mal geteilt wurde, beginnen die Anzeigen. Quelle: Zscaler

Bedrohungsakteure verschicken eine SMS oder WhatsApp-Nachricht an Nummern im Jio-Netzwerk mit der Phishing-Köder-Nachricht und einem Link, um das betrügerische Angebot in Anspruch zu nehmen, so der Bericht. Der Link führt zu einer von Weebly gehosteten Website, die von den Cyberkriminellen kontrolliert wird, so der Bericht.

“In der ursprünglichen Download-Anfrage, die wir in der Zscaler-Cloud beobachtet haben, war der User-Agent-String: WhatsApp/2.21.4.22, was für uns darauf hindeutet, dass der Link vom Benutzer in einer WhatsApp-Nachricht angeklickt wurde”, so die Analyse.

Der Bericht fügte weitere Beispiele für die URLs hinzu:

Website: https://tiktokplus[.]weebly.com/gekürzter Link: http://tiny[.]cc/Tiktok_pro
URL: https://tiktokplus[.]weebly.com/
GitHub Download-Link: https://github.com/breakingnewsindia/t1/raw/main/Tiktik-h[dot]apk

Sobald sich das Ziel auf der bösartigen Website befindet, versucht der Angreifer, den Benutzer zum Herunterladen einer Android-Paketdatei (APK) zu bewegen.

Im Fall des Lenovo-Angriffs ruft die APK die Datei datalaile.class auf, die zunächst prüft, ob sie über Berechtigungen verfügt. Wenn nicht, wird eine Meldung angezeigt, die besagt: “Need Permission to start app!”, so der Bericht. Sobald die Berechtigungen erteilt sind, wird ein Formular angezeigt, das nach einem Benutzernamen und einem Passwort fragt.

Der nächste Schritt in der Kette ist, dass die Angreifer versuchen, die Malware so weit wie möglich zu verbreiten. Im Beispiel des TikTok-Angriffs fordert die Malware das Opfer auf, den bösartigen Link auf WhatsApp zehnmal zu teilen.

“Es gibt keine Überprüfung, um zu erkennen, ob WhatsApp installiert ist oder nicht”, so die Forscher. “Falls WhatsApp nicht installiert ist, wird eine Toast-Meldung angezeigt, die lautet ‘WhatsApp nicht installiert’, aber der Zähler verringert sich trotzdem.”

Sobald die Nachricht mit 10 anderen geteilt wird, wird die Glückwunschnachricht ausgeliefert, die, wenn sie angeklickt wird, clickendra.class aufruft, die Werbung anzeigt und mit einer abschließenden Nachricht endet, dass “TikTok in 1 Stunde startet.”

Die Ad-Stuffer-Malware

“Diese Apps werden vom Bedrohungsakteur verwendet, um Einnahmen zu generieren, indem dem Benutzer interstitielle Werbung angezeigt wird”, so der Bericht. “Es gibt zwei Software Development Kits (SDKs), die für diesen Zweck verwendet werden. Wenn es mit einem SDK nicht gelingt, Werbung abzurufen, wird das nächste SDK als Failover-Mechanismus verwendet.”

Sie fügten hinzu, dass die beiden SDKs, die in der App beobachtet wurden, AppLovin und StartApp waren.

“Bevor die Anzeigen angezeigt werden, wird eine gefälschte Ansicht für den Benutzer erstellt, die eine gefälschte Textnachricht und einen gefälschten Fortschrittsbalken über allen Elementen enthält”, so der Bericht weiter. “Nach dem Einstellen der gefälschten Ansicht wird eine Anfrage zum Abrufen der Anzeigen gesendet. Wenn die Display erfolgreich empfangen wird, wird sie angezeigt und der gefälschte Fortschrittsbalken wird ausgeblendet, andernfalls wird eine Anfrage zum Laden der nächsten Display gesendet.”

Wenn die Anzeigen nicht geladen werden können, so die Beobachtung des Zscaler-Teams, ruft die Ad-Stuffer-Malware lastactivity.class auf, um dem Opfer eine Nachricht anzuzeigen, in der es aufgefordert wird, “auf die Display zu klicken und die App zu installieren, um fortzufahren.”

“Es ändert die Inhaltsansicht, initialisiert das StartApp-SDK erneut und erstellt einen gefälschten Fortschrittsbalken wie zuvor”, so der Bericht. “Wenn die Display empfangen wird, wird sie dem Benutzer angezeigt.”

Der Malware-Spreader

Der Code, der zur Verbreitung des Fehlers verwendet wird, ist felavo.class, der laut den Forschern zwei Schlüsselfunktionen ausführt: Initialisierung und Verbreitung des bösartigen Links über SMS-Texte, die nur an andere Jio-Kunden gesendet werden.

“Die Täuschungsnachricht, die zur Verbreitung der Anwendung verwendet wird, wird in verschlüsselter Form gespeichert”, heißt es in dem Bericht. “In der Initialisierungsphase konfiguriert der Dienst den kryptografischen Kontext, der später zur Entschlüsselung der Täuschungsnachricht verwendet wird.”

Die Malware durchsucht die Kontaktliste des Opfers, um andere Jio-assoziierte Nummern zu finden, indem sie eine Liste von Kontakten abruft, diese organisiert und eine saubere Liste erstellt, so das Team.

Zscaler sagte, dass es weiterhin die Bedrohungsakteure überwachen wird, aber Benutzer müssen sich bewusst sein, dass diese Bedrohungen da draußen sind und Vorsichtsmaßnahmen ergreifen, um sich zu schützen, fügte Desai hinzu.

“Verlassen Sie sich beim Herunterladen von Anwendungen immer auf vertrauenswürdige App-Stores wie Google Play”, riet er. “Laden Sie keine Apps aus unaufgeforderten Nachrichten herunter, selbst wenn sie von Ihren vertrauenswürdigen Kontakten kommen.”

Haben Sie sich schon einmal gefragt, was in Untergrund-Cybercrime-Foren vor sich geht? Finden Sie es am 21. April um 14 Uhr ET bei einer KOSTENLOSEN Veranstaltung von Threatpost heraus: “Underground Markets: A Tour of the Dark Economy”. Experten nehmen Sie mit auf eine Führung durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche neuesten Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

Einige Teile dieses Artikels stammen aus:
threatpost.com