Categories: MobileMobile OS

FakeSpy: Android-Malware nimmt Apps für Postdienstleistungen ins Visier

Cybereason warnt vor einer neuen Variante der Android-Malware FakeSpy, die erstmals 2017 beschreiben wurde. Bei der aktuellen Kampagne soll eine deutlich verbesserte und leistungsfähigere Version zum Einsatz kommen, die auch über zusätzliche Verschleierungstechniken verfügt. Neu ist auch, dass sich FakeSpy als staatliche Post- und Transport-Apps tarnt.

Darüber hinaus beschränken sich die Hintermänner der Analyse zufolge nicht mehr nur auf ostasiatische Länder. Aktuell ist die Malware auch in Frankreich, der Schweiz, den USA, Großbritannien und Deutschland aktiv.

Die eigentliche Aufgabe von FakeSpy ist der Diebstahl von Informationen. Ein wichtiges Merkmal der Malware ist, dass sie SMS-Nachrichten stehlen und versenden kann. Diese Fähigkeit nutzt sie für sogenanntes Smishing oder SMS-Phishing, einer Taktik, die sich auf Social Engineering stützt. Gefälschte Textnachrichten sollen Opfer dazu verleiten, auf einen bösartigen Link zu klicken, über den ein schädliches Android-Installationspaket (APK) heruntergeladen wird.

Die gefälschten SMS-Nachrichten geben aktuell vor, von einer Postfiliale zu stammen, mit einem Link zu einer App, hinter der sich FakeSpy verbirgt. Unter anderem bieten die Hintermänner gefälschte Apps der britischen Royal Mail, der Schweizer Post, der United States Postal Service, der französischen La Poste und der Deutschen Post an.

Die gefährlichen Apps wiederum wurden mithilfe der Android-Komponente WebView erstellt. Darüber wird unter anderem die legitime Website des jeweiligen Postanbieters geladen, um die schädliche Apps vertrauenswürdiger zu machen. Damit soll auch eine wichtige Hürde für die Installation der eigentlichen Schadsoftware genommen werden, nämlich die Berechtigung für die Installation einer App aus einer unbekannten Quelle.

Lässt sich ein Opfer täuschen, fragt die Malware bei der Installation unter anderem die Berechtigungen für das Lesen, Empfangen, Schreiben und Senden von SMS ab. Sie benötigt außerdem den Zugriff auf den internen und externen Speicher. Wichtig ist auch Berechtigung für das Einblenden von Systemmeldungen, die eine geöffnete App überlagern. Darüber hinaus sollen Nutzer auch bestätigen, dass die App die Energiespareinstellungen verändern darf, damit sich auch bei ausgeschaltetem Bildschirm aktiv bleiben kann. „Diese Rückfragen setzen voraus, dass der Endbenutzer die Erlaubnisänderungen akzeptiert, und weisen auf die Bedeutung einer gesunden Skepsis bei der Erteilung von Genehmigungen für App-Berechtigungen hin“, erklärte Cybereason.

Erst danach beginnt die Malware mit ihren eigentlichen Aktivitäten. Sie liest unter anderem das Adressbuch und die Telefonnummer des Opfers aus. Auch Details zum verwendeten Smartphone, der Android-Version, dem Mobilfunkanbieter sowie installierten Apps werden abgefragt.

Um einer Erkennung zu entgehen, kann FakeSpy feststellen, ob die Malware auf einem echten Android-Gerät oder in einem Emulator läuft. Wird ein Emulator erkannt, entfernt sich FakeSpy wieder.

Cybereason betont, dass FakeSpy kontinuierlich weiterentwickelt wird. Hinweise im Code sollen zudem auf einen Ursprung in China hindeuten. Unter anderem sind die Domains der Befehlsserver-Infrastruktur bei einem chinesischen ISP registriert.

„Die Malware-Autoren scheinen sich sehr um die Verbesserung dieser Malware zu bemühen und sie mit zahlreichen neuen Upgrades zu bündeln, die sie ausgefeilter machen. Diese Verbesserungen machen FakeSpy zu einem der mächtigsten Informationsdiebe auf dem Markt. Wir gehen davon aus, dass sich diese Malware mit zusätzlichen neuen Funktionen weiter entwickeln wird; die Frage ist nur, wann die nächste Welle kommt“, lautet das Fazit der Cybereason-Forscher.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

15 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago