Android-SMS-Diebstahlkampagne in 113 Ländern entdeckt

Forscher von Zimperium, einem in den USA ansässigen Unternehmen für mobile Sicherheit, haben eine großangelegte SMS-Diebstahlkampagne entdeckt, die Android-Geräte in 113 Ländern betrifft.

Diese großangelegte Kampagne, die Zimperium seit Februar 2022 verfolgt, hat über 107.000 einzigartige Malware-Proben identifiziert, die bösartige Android-Apps verwenden, um SMS-Nachrichten der Benutzer zu stehlen.

Die Bedrohungsakteure hinter dieser Malware-Kampagne verwendeten bösartige Werbelinks und Telegram-Bots, um die Kommunikation mit potenziellen Opfern zu automatisieren.

Im Falle von Malvertising werden die Opfer auf gefälschte Webseiten gelockt, die den Google Play Store imitieren und aufgeblähte Downloadzahlen anzeigen, um ein falsches Gefühl von Vertrauen und Sicherheit zu erzeugen.

Andererseits gaben sich die Bots auf Telegram als legitime Dienste aus und täuschten die Opfer, indem sie sie dazu brachten, einzigartige bösartige Anwendungen herunterzuladen, die als legitime APKs (Android-Anwendungspakete) getarnt waren.

Zum Beispiel versprechen die Bots, dem Benutzer eine raubkopierte APK-Datei zu geben, für die sie den Benutzer auffordern, seine Telefonnummer zu teilen. Dies ermöglicht es dem Angreifer, eine neue APK für personalisiertes Tracking oder zukünftige Angriffe zu erstellen.

„Mit dem Opfer fest im Griff des Angreifers hat der Angreifer nun die Möglichkeit, sensible Informationen über den Benutzer für finanziellen Gewinn zu stehlen und zu verkaufen“, schrieb Zimperium in einem Blogbeitrag.

Laut Zimperium war ein riesiges Netzwerk von etwa 2.600 Telegram-Bots mit dieser Kampagne verbunden, das verschiedene Android-APKs bewarb. Darüber hinaus verwendete die Malware 13 Command and Control (C&C) Server, um SMS-Nachrichten von den Geräten der Opfer zu stehlen und zu leaken.

„Von diesen 107.000 Malware-Proben sind über 99.000 dieser Anwendungen unbekannt und in allgemein verfügbaren Repositories nicht verfügbar. Diese Malware überwachte Einmalpasswortnachrichten (OTPs) von über 600 globalen Marken, wobei einige Marken Nutzerzahlen im Hundert-Millionen-Bereich hatten“, fügte das Unternehmen für mobile Sicherheit hinzu.

Die Opfer dieser Kampagne erstreckten sich über 113 Länder, wobei Russland und Indien die Hauptziele waren, gefolgt von Brasilien, Mexiko, den USA, der Ukraine, Spanien und der Türkei.

Während seiner Untersuchung entdeckte Zimperium, dass die Malware SMS-Nachrichten vom infizierten Gerät an einen bestimmten API-Endpunkt unter der Domain ‚fastsms[.]su‘ überträgt. Fast SMS (‘fastsms[.]su’) ist eine Webseite, die es Benutzern ermöglicht, Zugang zu „virtuellen“ Telefonnummern in fremden Ländern für Anonymisierungs- und Authentifizierungszwecke auf verschiedenen Online-Apps und -Diensten zu kaufen.

Die Forscher sind der Meinung, dass die mit den infizierten Geräten verknüpften Telefonnummern von dem angebotenen Dienst ohne das Wissen des Opfers für verschiedene Online-Konten verwendet werden, da die angeforderten Android-SMS-Zugriffsberechtigungen es der Malware ermöglichen, Einmalpasswörter (OTPs) abzufangen, die für Kontoanmeldungen und die Zwei-Faktor-Authentifizierung (2FA) erforderlich sind.

Opfer könnten unbefugte Gebühren auf ihren Mobilkonten erleiden und in illegale Aktivitäten verwickelt werden, die ihre Geräte und Telefonnummern betreffen.

„Die Verbreitung dieser mobilen Malware, gepaart mit der Leichtigkeit des Datendiebstahls (z.B. SMS, OTPs), stellt eine erhebliche Bedrohung für Einzelpersonen und Organisationen dar. Diese gestohlenen Anmeldeinformationen dienen als Sprungbrett für weitere betrügerische Aktivitäten, wie das Erstellen gefälschter Konten auf beliebten Diensten, um Phishing-Kampagnen oder Social Engineering-Angriffe zu starten“, schloss Zimperium.

Um den Missbrauch von Telefonnummern zu vermeiden, werden die Benutzer aufgefordert, APK-Downloads außerhalb des Google Play Store zu vermeiden, übermäßige App-Berechtigungen mit nicht verwandter Funktionalität abzulehnen und sicherzustellen, dass Play Protect auf ihren Geräten aktiv ist.