FakeSpy: Android-Malware nimmt Apps für Postdienstleistungen ins Visier

Cybereason warnt vor einer neuen Variante der Android-Malware FakeSpy, die erstmals 2017 beschreiben wurde. Bei der aktuellen Kampagne soll eine deutlich verbesserte und leistungsfähigere Version zum Einsatz kommen, die auch über zusätzliche Verschleierungstechniken verfügt. Neu ist auch, dass sich FakeSpy als staatliche Post- und Transport-Apps tarnt.

Darüber hinaus beschränken sich die Hintermänner der Analyse zufolge nicht mehr nur auf ostasiatische Länder. Aktuell ist die Malware auch in Frankreich, der Schweiz, den USA, Großbritannien und Deutschland aktiv.

Die eigentliche Aufgabe von FakeSpy ist der Diebstahl von Informationen. Ein wichtiges Merkmal der Malware ist, dass sie SMS-Nachrichten stehlen und versenden kann. Diese Fähigkeit nutzt sie für sogenanntes Smishing oder SMS-Phishing, einer Taktik, die sich auf Social Engineering stützt. Gefälschte Textnachrichten sollen Opfer dazu verleiten, auf einen bösartigen Link zu klicken, über den ein schädliches Android-Installationspaket (APK) heruntergeladen wird.

Die gefälschten SMS-Nachrichten geben aktuell vor, von einer Postfiliale zu stammen, mit einem Link zu einer App, hinter der sich FakeSpy verbirgt. Unter anderem bieten die Hintermänner gefälschte Apps der britischen Royal Mail, der Schweizer Post, der United States Postal Service, der französischen La Poste und der Deutschen Post an.

Die gefährlichen Apps wiederum wurden mithilfe der Android-Komponente WebView erstellt. Darüber wird unter anderem die legitime Website des jeweiligen Postanbieters geladen, um die schädliche Apps vertrauenswürdiger zu machen. Damit soll auch eine wichtige Hürde für die Installation der eigentlichen Schadsoftware genommen werden, nämlich die Berechtigung für die Installation einer App aus einer unbekannten Quelle.

Lässt sich ein Opfer täuschen, fragt die Malware bei der Installation unter anderem die Berechtigungen für das Lesen, Empfangen, Schreiben und Senden von SMS ab. Sie benötigt außerdem den Zugriff auf den internen und externen Speicher. Wichtig ist auch Berechtigung für das Einblenden von Systemmeldungen, die eine geöffnete App überlagern. Darüber hinaus sollen Nutzer auch bestätigen, dass die App die Energiespareinstellungen verändern darf, damit sich auch bei ausgeschaltetem Bildschirm aktiv bleiben kann. „Diese Rückfragen setzen voraus, dass der Endbenutzer die Erlaubnisänderungen akzeptiert, und weisen auf die Bedeutung einer gesunden Skepsis bei der Erteilung von Genehmigungen für App-Berechtigungen hin“, erklärte Cybereason.

Erst danach beginnt die Malware mit ihren eigentlichen Aktivitäten. Sie liest unter anderem das Adressbuch und die Telefonnummer des Opfers aus. Auch Details zum verwendeten Smartphone, der Android-Version, dem Mobilfunkanbieter sowie installierten Apps werden abgefragt.

Um einer Erkennung zu entgehen, kann FakeSpy feststellen, ob die Malware auf einem echten Android-Gerät oder in einem Emulator läuft. Wird ein Emulator erkannt, entfernt sich FakeSpy wieder.

Cybereason betont, dass FakeSpy kontinuierlich weiterentwickelt wird. Hinweise im Code sollen zudem auf einen Ursprung in China hindeuten. Unter anderem sind die Domains der Befehlsserver-Infrastruktur bei einem chinesischen ISP registriert.

„Die Malware-Autoren scheinen sich sehr um die Verbesserung dieser Malware zu bemühen und sie mit zahlreichen neuen Upgrades zu bündeln, die sie ausgefeilter machen. Diese Verbesserungen machen FakeSpy zu einem der mächtigsten Informationsdiebe auf dem Markt. Wir gehen davon aus, dass sich diese Malware mit zusätzlichen neuen Funktionen weiter entwickeln wird; die Frage ist nur, wann die nächste Welle kommt“, lautet das Fazit der Cybereason-Forscher.