Backdoor

Kaspersky-Experten haben die Malware ,MobOk‘ entlarvt. Das perfide: Der Schädling verbarg sich in scheinbar legitimen Apps zur Bildbearbeitung auf Google Play. Zum Zeitpunkt der Entdeckung waren die betroffenen Apps ,Pink Camera‘ und ,Pink Camera 2‘ bereits rund 10.000 Mal installiert worden.

Ihr Zweck war es, persönliche Daten der Nutzer abzugreifen und diese dann für die Anmeldung der Opfer bei zahlungspflichtigen Abonnement-Diensten zu verwenden. Betroffene konnten die ungewollten Anmeldungen erst mit der nächsten Gebührenabrechnung ihrer Mobilfunk-Provider entdecken. Google Play hat die Apps inzwischen entfernt.

Bei der Malware MobOk handelt es sich um eine Backdoor, also eine besonders gefährliche Art von Malware, weil Angreifer die infizierten Geräte damit fast vollständig kontrollieren können. Obwohl der auf Google Play hochgeladene Inhalt starken Filterprozessen unterliegt, ist es nicht das erste Mal, dass auf diesem Weg Malware auf die Geräte mobiler Nutzer kommt. Vielfach verstecken sich Backdoors in halbwegs funktionalen Apps, die auf den ersten Blick wie simple, aber unverdächtige Bemühungen zur Erstellung legitimer Apps erscheinen. So erregten auch die Pink-Camera-Apps zunächst keinen Verdacht. Sie boten tatsächlich die Möglichkeit zur Bildbearbeitung und wurden über den vertrauenswürdigen Google Play Store angeboten.

Sobald jedoch Nutzer ihre Bilder mit Hilfe von Pink Camera bearbeiten wollten, verlangten die Apps den Zugriff auf Benachrichtigungen und starteten im Hintergrund ihre schädlichen Aktivitäten. Ziel war es, Nutzer bei bezahlungspflichtigen mobilen Abonnement-Diensten anzumelden. In der Regel handelt es sich dabei um Webseiten, die ihre Dienste gegen eine tägliche Gebühr anbieten, die dann mit der Mobilfunk-Rechnung eingezogen wird. Dieses Bezahlmodell wurde ursprünglich entwickelt, um Kunden die Anmeldung zu gebührenpflichtigen Angeboten zu erleichtern. Inzwischen wird das Modell jedoch gelegentlich auch von Cyberkriminellen missbraucht.

Waren Opfer erst einmal mit MobOk infiziert, sammelte die Malware Geräteinformationen wie die zugehörige Telefonnummer, um diese dann im weiteren Verlauf der Attacke einzusetzen. So schickten die Angreifer Details von Webseiten mit gebührenpflichtigen Abo-Diensten auf die infizierten Geräte. Die Malware agierte dann wie ein geheimer Browser: sie öffnete im Hintergrund die Webseiten, nutzte die zuvor ermittelte Telefonnummer zur Anmeldung beim Abo-Dienst und bestätigte den Kauf. Da sie die komplette Kontrolle über das Gerät besaß, wurden auch Benachrichtigungen abgefangen und der per SMS gesendete Bestätigungscode eingetragen, ohne dass der Anwender dies mitbekam. Ab diesem Zeitpunkt fielen bei den Opfern Kosten an, bis diese endlich auf der Telefonrechnung entdeckt und die Abos wieder abbestellt wurden.

„Die Bildbearbeitungsfähigkeiten der ‚Pink Camera‘-Apps waren nicht gerade ausgereift. Bemerkenswert waren vielmehr die Aktivitäten, die im Hintergrund abliefen. So wurden Opfer bei russischen, englischen und thailändischen Abodiensten angemeldet, SMS-Nachrichten wurden kontrolliert und Captchas abgesetzt – also jener Code, den die Nutzer von Webseiten eingeben müssen, um zu beweisen, dass sie keine Roboter sind“, erklärt Igor Golovin, Security Researcher bei Kaspersky. „Damit hatte die Malware potentiell auch die Möglichkeit, Geld von den Konten ihrer Opfer abzuzweigen. Wir vertreten die Hypothese, dass die hinter diesen Apps steckenden Angreifer sowohl die Bezahldienste generierten, die nicht alle genuin waren, als auch die Malware zur Anmeldung neuer Abonnenten – wobei sie ein internationales Publikum ins Auge gefasst hatten.“

Kaspersky-Produkte erkennen die MobOk-Malware als HEUR:Trojan.AndroidOS.MobOk.a

Kaspersky-Experten raten daher zu folgenden Vorsichtsmaßnahmen zum Schutz vor schadhaften Apps:

  • Auch vertrauenswürdige Quellen, wie ein offizieller App-Store, können gefährliche Apps enthalten. Das erfordert eine erhöhte Aufmerksamkeit und die Kontrolle der Rechte, die installierte Apps tatsächlich haben oder einfordern. Hierbei helfen bereits vorhandene Ratings und Bewertungen der Apps. Schadsoftware hat oft schlechte Ratings und Anwender warnen in ihren Bewertungen vor möglichen Malware-Risiken. Wer solche Apps dennoch installieren möchte, sollte ein besonderes Augenmerk auf die Anforderung von Rechten legen.
     
  • Verfügbare Updates für das System und die darauf befindlichen Anwendungen sollten unverzüglich installiert werden, um Schwachstellen zu beseitigen und den Geräteschutz aufrecht zu erhalten.
     
  • Umfassenden Schutz vor einem breiten Gefahrenspektrum bieten verlässliche Schutzlösungen wie etwa Kaspersky Security Cloud.

Weitere Informationen:

Mehr Informationen zu diesem Thema sind zu finden unter https://securelist.com/mobile-subscriptions/91211/

www.kaspersky.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…
Herzen

Saisonale Betrügereien: Ausgabe Valentinstag

Romantische, aber auch das Vertrauen brechende Betrügereien verursachen sowohl emotionale als auch finanzielle Schmerzen. Ein Statement von Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
Tb W250 H150 Crop Int 1f22abfe6e08d1f054b6663556039815

Phishing und Malware: Coronavirus auch per E-Mail gefährlich

Täglich tauchen Meldungen zu neuen Infektionsfällen mit dem grassierenden Coronavirus auf. Die Bilder von abgeriegelten Städten und Menschen in Quarantäne zeichnen ein Schreckensszenario. Doch nicht nur in der analogen Welt ist das Virus ein Risiko: Die…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!