Kaspersky hat eine Android-Malware im Google Play-Store entdeckt, die auf mehr als 620.000 Installationen kommt. Sie schließt kostenpflichtige Abos ab.
Fleckpe – so nennt Kaspersky den jüngsten Schädlingsfund im Google-Play-Store. Der Abo-Trojaner war in elf Apps enthalten, die zusammen auf mehr als 620.000 Geräten installiert wurden. Inzwischen hat Google die bösartigen Apps entfernt. Die IT-Forensiker geben jedoch zu bedenken, dass die böswilligen Akteure weitere, noch unentdeckte Apps platziert haben könnten, sodass die tatsächliche Zahl der Infektionen höher sein könnte.
Android-Trojaner: getarnt als Foto-Editor
Die Fleckpe-Malware kommt vor allem als Foto-Editor getarnt auf die Geräte. Beim Start lädt sie eine stark verschleierte Bibliothek, die einen bösartigen Dropper enthält. Der wiederum entschlüsselt aus den App-Bestandteilen die eigentlichen Schadroutinen.
Kaspersky führt in der Analyse weiter aus, dass die Schadsoftware dann Command-and-Control-Server (C&C) der Betrüger kontaktiert. Dabei überträgt sie Informationen zum infizierten Gerät, den Mobile Carrier Code (MCC) sowie den Mobile Network Code (MNC), wodurch sich das Herkunftsland und der Mobilfunkprovider des Opfers identifizieren lassen. Der C&C-Server liefert dann eine Seite mit Bezahl-Abonnements zurück. Diese öffnet der Trojaner in einem unsichtbaren Browser und versucht, Abos im Namen des Opfers abzuschließen.
Sofern der Abo-Abschluss eine Bestätigung erfordert, holt die Malware sie sich aus den Benachrichtigungen. Beim ersten Start erfragt die Trojaner-App die entsprechende Berechtigung beim Opfer. Sobald der Schädling den Bestätigungs-Code gefunden hat, trägt er ihn in das entsprechende Feld ein und schließt den Abonnement-Prozess ab. Die Opfer nutzen derweil die beworbene App-Funktion, etwa das Editieren von Fotos oder Herunterladen von Wallpapers, und bekommen von den betrügerischen Aktivitäten der Malware nichts mit.
Der Trojaner werde stetig weiterentwickelt. So hätten die Programmierer die Bibliothek mit dem Dropper-Code aktualisiert, sodass der Code zum Abschließen von Abonnements ebenfalls darin liegt. Der weitere entschlüsselte Code fängt jetzt lediglich Benachrichtigungen ab und zeigt Webseiten an. Er bildet die Brücke zwischen nativem Code und Android-Komponenten, die zum Abschluss eines Abos nötig sind. Das sei zum Erschweren der Analyse geschehen und um die Erkennung mit Sicherheits-Tools zu verkomplizieren, führen Kasperskys Analysten aus. Anders als der native Code der Bibliothek sei der entschlüsselte Code nur leicht verschleiert.
Die IT-Forscher haben hartkodierte MCC- und MNC-Codes aus Thailand im Trojaner gefunden, die offenbar zum Testen dienten. Eine größere Anzahl an Rezensionen zu den Apps sei auf Thai verfasst. Es seien offenbar Thailänder besonders im Fokus der Malware-Schreiber gewesen. Die Telemetriedaten von Kaspersky zeigen aber unter anderem auch Opfer in Polen, Malaysia, Indonesien und Singapur. Die Analyse listet noch Indizien für einen Befall (Indicators of Compromise, IOCs) auf wie Paketnamen, MD5-Hashes und Adressen von C&C-Servern.
Kürzlich hatten IT-Forscher einen Android-Banking-Trojaner analysiert, der mehr als 400 Finanzinstitutionen angreifen und dort Geld abziehen konnte.