Anzeige

Backdoor

Kaspersky-Experten haben die Malware ,MobOk‘ entlarvt. Das perfide: Der Schädling verbarg sich in scheinbar legitimen Apps zur Bildbearbeitung auf Google Play. Zum Zeitpunkt der Entdeckung waren die betroffenen Apps ,Pink Camera‘ und ,Pink Camera 2‘ bereits rund 10.000 Mal installiert worden.

Ihr Zweck war es, persönliche Daten der Nutzer abzugreifen und diese dann für die Anmeldung der Opfer bei zahlungspflichtigen Abonnement-Diensten zu verwenden. Betroffene konnten die ungewollten Anmeldungen erst mit der nächsten Gebührenabrechnung ihrer Mobilfunk-Provider entdecken. Google Play hat die Apps inzwischen entfernt.

Bei der Malware MobOk handelt es sich um eine Backdoor, also eine besonders gefährliche Art von Malware, weil Angreifer die infizierten Geräte damit fast vollständig kontrollieren können. Obwohl der auf Google Play hochgeladene Inhalt starken Filterprozessen unterliegt, ist es nicht das erste Mal, dass auf diesem Weg Malware auf die Geräte mobiler Nutzer kommt. Vielfach verstecken sich Backdoors in halbwegs funktionalen Apps, die auf den ersten Blick wie simple, aber unverdächtige Bemühungen zur Erstellung legitimer Apps erscheinen. So erregten auch die Pink-Camera-Apps zunächst keinen Verdacht. Sie boten tatsächlich die Möglichkeit zur Bildbearbeitung und wurden über den vertrauenswürdigen Google Play Store angeboten.

Sobald jedoch Nutzer ihre Bilder mit Hilfe von Pink Camera bearbeiten wollten, verlangten die Apps den Zugriff auf Benachrichtigungen und starteten im Hintergrund ihre schädlichen Aktivitäten. Ziel war es, Nutzer bei bezahlungspflichtigen mobilen Abonnement-Diensten anzumelden. In der Regel handelt es sich dabei um Webseiten, die ihre Dienste gegen eine tägliche Gebühr anbieten, die dann mit der Mobilfunk-Rechnung eingezogen wird. Dieses Bezahlmodell wurde ursprünglich entwickelt, um Kunden die Anmeldung zu gebührenpflichtigen Angeboten zu erleichtern. Inzwischen wird das Modell jedoch gelegentlich auch von Cyberkriminellen missbraucht.

Waren Opfer erst einmal mit MobOk infiziert, sammelte die Malware Geräteinformationen wie die zugehörige Telefonnummer, um diese dann im weiteren Verlauf der Attacke einzusetzen. So schickten die Angreifer Details von Webseiten mit gebührenpflichtigen Abo-Diensten auf die infizierten Geräte. Die Malware agierte dann wie ein geheimer Browser: sie öffnete im Hintergrund die Webseiten, nutzte die zuvor ermittelte Telefonnummer zur Anmeldung beim Abo-Dienst und bestätigte den Kauf. Da sie die komplette Kontrolle über das Gerät besaß, wurden auch Benachrichtigungen abgefangen und der per SMS gesendete Bestätigungscode eingetragen, ohne dass der Anwender dies mitbekam. Ab diesem Zeitpunkt fielen bei den Opfern Kosten an, bis diese endlich auf der Telefonrechnung entdeckt und die Abos wieder abbestellt wurden.

„Die Bildbearbeitungsfähigkeiten der ‚Pink Camera‘-Apps waren nicht gerade ausgereift. Bemerkenswert waren vielmehr die Aktivitäten, die im Hintergrund abliefen. So wurden Opfer bei russischen, englischen und thailändischen Abodiensten angemeldet, SMS-Nachrichten wurden kontrolliert und Captchas abgesetzt – also jener Code, den die Nutzer von Webseiten eingeben müssen, um zu beweisen, dass sie keine Roboter sind“, erklärt Igor Golovin, Security Researcher bei Kaspersky. „Damit hatte die Malware potentiell auch die Möglichkeit, Geld von den Konten ihrer Opfer abzuzweigen. Wir vertreten die Hypothese, dass die hinter diesen Apps steckenden Angreifer sowohl die Bezahldienste generierten, die nicht alle genuin waren, als auch die Malware zur Anmeldung neuer Abonnenten – wobei sie ein internationales Publikum ins Auge gefasst hatten.“

Kaspersky-Produkte erkennen die MobOk-Malware als HEUR:Trojan.AndroidOS.MobOk.a

Kaspersky-Experten raten daher zu folgenden Vorsichtsmaßnahmen zum Schutz vor schadhaften Apps:

  • Auch vertrauenswürdige Quellen, wie ein offizieller App-Store, können gefährliche Apps enthalten. Das erfordert eine erhöhte Aufmerksamkeit und die Kontrolle der Rechte, die installierte Apps tatsächlich haben oder einfordern. Hierbei helfen bereits vorhandene Ratings und Bewertungen der Apps. Schadsoftware hat oft schlechte Ratings und Anwender warnen in ihren Bewertungen vor möglichen Malware-Risiken. Wer solche Apps dennoch installieren möchte, sollte ein besonderes Augenmerk auf die Anforderung von Rechten legen.
     
  • Verfügbare Updates für das System und die darauf befindlichen Anwendungen sollten unverzüglich installiert werden, um Schwachstellen zu beseitigen und den Geräteschutz aufrecht zu erhalten.
     
  • Umfassenden Schutz vor einem breiten Gefahrenspektrum bieten verlässliche Schutzlösungen wie etwa Kaspersky Security Cloud.

Weitere Informationen:

Mehr Informationen zu diesem Thema sind zu finden unter https://securelist.com/mobile-subscriptions/91211/

www.kaspersky.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!