ESET enttarnt als Clubhouse-App getarnte Malware

Cyber Security News

ESET hat Malware entdeckt, die darauf abzielt, die wachsende Popularität der einladungsbasierten Social Media-App Clubhouse auszunutzen.

Die Cybersecurity-Firma hat ihre Ergebnisse in einem Blog-Post veröffentlicht und erklärt, dass die Trojaner-Malware darauf abzielt, die Anmeldeinformationen der Benutzer für eine Vielzahl von Online-Diensten zu stehlen. Getarnt als Android-Version der Audio-Chat-App (die derzeit nicht existiert), ist er in der Lage, Anmeldeinformationen für über 450 Apps zu übernehmen und kann auch die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) umgehen.

Bei dem Schema werden Benutzer dazu verleitet, die gefälschte App von einer Website herunterzuladen, die das Aussehen und die Bedienung der echten Clubhouse-Website hat. Sobald die Malware mit dem Spitznamen “BlackRock” auf ein Gerät heruntergeladen wurde, kann sie sich daran machen, Anmeldedaten für 458 Online-Dienste zu stehlen. Zu den angegriffenen Online-Diensten gehören Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA und Lloyds Bank.

BlackRock verwendet einen Overlay-Angriff, um zu versuchen, die Anmeldedaten des Opfers zu stehlen, sobald eine der anvisierten Anwendungen gestartet wird. Nach dem Overlay wird der Benutzer aufgefordert, sich anzumelden, wobei er unwissentlich seine Anmeldedaten an die Angreifer weitergibt.

Besorgniserregend ist, dass die Malware auch Textnachrichten abfangen kann, was bedeutet, dass SMS-basierte 2FA nicht unbedingt helfen wird. Außerdem fordert die bösartige App das Opfer auf, Zugriffsdienste zu aktivieren, wodurch die Cyberkriminellen effektiv die Kontrolle über das Gerät übernehmen können.

ESET-Malware-Forscher Lukas Stefanko sagte: “Die Website sieht aus wie ein echter Deal. Um ehrlich zu sein, ist es eine gut gemachte Kopie der legitimen Clubhouse-Website. Sobald der Benutzer jedoch auf ‘Get it on Google Play’ klickt, wird die App automatisch auf das Gerät des Benutzers heruntergeladen. Im Gegensatz dazu würden legitime Websites den Benutzer immer zu Google Play weiterleiten, anstatt direkt ein Android Package Kit, kurz APK, herunterzuladen.”

Tom Lysemose Hansen, CTO bei der App-Sicherheitsfirma Promon, kommentierte die Untersuchung wie folgt: “Es war nur eine Frage der Zeit, bis bösartige Akteure aus der wachsenden Nachfrage nach Clubhouse Kapital schlagen und eine Android-App veröffentlichen. Dies ist ein klassischer Fall von Malware, die, sobald sie auf das Gerät heruntergeladen wurde, ein System von Overlays verwendet, um Anmeldedaten von einer Liste von Zielanwendungen zu stehlen. Die überzeugende Art der Website und die Tatsache, dass die Malware in der Lage ist, Anmeldedaten von mehr als 450 Apps zu stehlen und die SMS-basierte Zwei-Faktor-Authentifizierung zu umgehen, macht dies äußerst besorgniserregend.”

Er fügte hinzu: “Smartphone-Benutzer (und insbesondere Android-Benutzer) sollten auf häufige Anzeichen achten, die darauf hinweisen, dass eine Website nicht legitim ist. Dazu kann gehören, dass sie nicht sicher ist (wenn die Webseite mit HTTP statt HTTPS beginnt) oder wenn die Domain seltsam aussieht (in diesem Fall war es .mobi statt .com, die von der legitimen Webseite verwendet wird).”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com