Über 750.000 Nutzer luden neue Apps zum Thema Rechnungsbetrug aus dem Google Play Store herunter

Cyber Security News

Forscher haben eine neue Reihe von betrügerischen Android-Apps im Google Play Store entdeckt, die SMS-Benachrichtigungen zur Durchführung von Abrechnungsbetrug missbrauchen.

Die fraglichen Apps zielten hauptsächlich auf Benutzer in Südwestasien und auf der arabischen Halbinsel ab und wurden insgesamt 700.000 Mal heruntergeladen, bevor sie entdeckt und von der Plattform entfernt wurden.

Die Ergebnisse wurden unabhängig voneinander von den Cybersecurity-Firmen Trend Micro und McAfee gemeldet.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

“Getarnt als Foto-Editoren, Hintergrundbilder, Puzzles, Tastatur-Skins und andere kamerabezogene Apps, kapert die in diesen betrügerischen Apps eingebettete Malware SMS-Benachrichtigungen und tätigt dann unautorisierte Käufe”, so die Forscher von McAfee in einem Bericht vom Montag.

Die betrügerischen Apps gehören zur sogenannten “Joker” (aka Bread)-Malware, die sich in den letzten vier Jahren wiederholt an der Google Play-Abwehr vorbeischleichen konnte, was dazu führte, dass Google bis Anfang 2020 nicht weniger als 1.700 infizierte Apps aus dem Play Store entfernte. McAfee verfolgt die Bedrohung jedoch unter einem separaten Namen namens “Etinu”.

[Blocked Image: https://thehackernews.com/images/-fcu1Z6Q_5_0/YH73bCM0JJI/AAAAAAAACTw/2sj9g2kE-swOF7mVVgjpTcKCHDYH-1PDwCLcBGAsYHQ/s0/android-malware.jpg]

Die Malware ist berüchtigt für Abrechnungsbetrug und ihre Spyware-Fähigkeiten, einschließlich des Diebstahls von SMS-Nachrichten, Kontaktlisten und Geräteinformationen. Die Malware-Autoren verwenden in der Regel eine Technik namens “Versioning”, die sich darauf bezieht, eine saubere Version der App in den Play Store hochzuladen, um das Vertrauen der Benutzer zu gewinnen, und dann zu einem späteren Zeitpunkt über App-Updates heimlich bösartigen Code hinzuzufügen, um den App-Überprüfungsprozess zu umgehen.

Der zusätzlich eingeschleuste Code dient als Nutzlast der ersten Stufe, die scheinbar harmlose .PNG-Dateien tarnt und eine Verbindung mit einem Command-and-Control-Server (C2) herstellt, um einen geheimen Schlüssel abzurufen, mit dem die Datei in einen Loader entschlüsselt wird. Diese Zwischen-Nutzlast lädt dann die verschlüsselte zweite Nutzlast, die schließlich entschlüsselt wird, um die Malware zu installieren.

Die Untersuchung der C2-Server durch McAfee ergab, dass die persönlichen Daten der Benutzer, einschließlich des Netzbetreibers, der Telefonnummer, der SMS-Nachricht, der IP-Adresse, des Landes und des Netzwerkstatus, zusammen mit den sich automatisch erneuernden Abonnements.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Die Liste der neun Apps ist unten – Tastatur-Hintergrundbild (com.studio.keypaper2021) PIP Photo Maker (com.pip.editor.camera) 2021 Hintergrundbild und Tastatur (org.my.favorites.up.keypaper) Barbier-Streich Haartrockner, Clipper und Schere (com.super.color.hairdryer) Bild-Editor (com.ce1ab3.app.photo.editor) PIP-Kamera (com.hit.camera.pip) Tastatur-Hintergrundbild (com.daynight.keyboard.wallpaper) Pop-Klingeltöne für Android (com.super.star.ringtones) Cool Girl Wallpaper/SubscribeSDK (cool.girly.wallpaper)

Benutzer, die die Apps heruntergeladen haben, werden dringend gebeten, auf unautorisierte Transaktionen zu achten und gleichzeitig Maßnahmen zu ergreifen, um auf verdächtige von Apps angeforderte Berechtigungen zu achten und Apps sorgfältig zu prüfen, bevor sie auf den Geräten installiert werden.

“Wenn man bedenkt, wie die Betreiber von Joker immer wieder dafür sorgen, dass die Malware auch nach mehrmaligem Erwischen in Google Play bestehen bleibt, gibt es höchstwahrscheinlich Wege [the operators] von diesem Schema zu profitieren”, so die Trend Micro Forscher.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com