Categories: MobileMobile OS

FakeSpy: Android-Malware nimmt Apps für Postdienstleistungen ins Visier

Cybereason warnt vor einer neuen Variante der Android-Malware FakeSpy, die erstmals 2017 beschreiben wurde. Bei der aktuellen Kampagne soll eine deutlich verbesserte und leistungsfähigere Version zum Einsatz kommen, die auch über zusätzliche Verschleierungstechniken verfügt. Neu ist auch, dass sich FakeSpy als staatliche Post- und Transport-Apps tarnt.

Darüber hinaus beschränken sich die Hintermänner der Analyse zufolge nicht mehr nur auf ostasiatische Länder. Aktuell ist die Malware auch in Frankreich, der Schweiz, den USA, Großbritannien und Deutschland aktiv.

Die eigentliche Aufgabe von FakeSpy ist der Diebstahl von Informationen. Ein wichtiges Merkmal der Malware ist, dass sie SMS-Nachrichten stehlen und versenden kann. Diese Fähigkeit nutzt sie für sogenanntes Smishing oder SMS-Phishing, einer Taktik, die sich auf Social Engineering stützt. Gefälschte Textnachrichten sollen Opfer dazu verleiten, auf einen bösartigen Link zu klicken, über den ein schädliches Android-Installationspaket (APK) heruntergeladen wird.

Die gefälschten SMS-Nachrichten geben aktuell vor, von einer Postfiliale zu stammen, mit einem Link zu einer App, hinter der sich FakeSpy verbirgt. Unter anderem bieten die Hintermänner gefälschte Apps der britischen Royal Mail, der Schweizer Post, der United States Postal Service, der französischen La Poste und der Deutschen Post an.

Die gefährlichen Apps wiederum wurden mithilfe der Android-Komponente WebView erstellt. Darüber wird unter anderem die legitime Website des jeweiligen Postanbieters geladen, um die schädliche Apps vertrauenswürdiger zu machen. Damit soll auch eine wichtige Hürde für die Installation der eigentlichen Schadsoftware genommen werden, nämlich die Berechtigung für die Installation einer App aus einer unbekannten Quelle.

Lässt sich ein Opfer täuschen, fragt die Malware bei der Installation unter anderem die Berechtigungen für das Lesen, Empfangen, Schreiben und Senden von SMS ab. Sie benötigt außerdem den Zugriff auf den internen und externen Speicher. Wichtig ist auch Berechtigung für das Einblenden von Systemmeldungen, die eine geöffnete App überlagern. Darüber hinaus sollen Nutzer auch bestätigen, dass die App die Energiespareinstellungen verändern darf, damit sich auch bei ausgeschaltetem Bildschirm aktiv bleiben kann. „Diese Rückfragen setzen voraus, dass der Endbenutzer die Erlaubnisänderungen akzeptiert, und weisen auf die Bedeutung einer gesunden Skepsis bei der Erteilung von Genehmigungen für App-Berechtigungen hin“, erklärte Cybereason.

Erst danach beginnt die Malware mit ihren eigentlichen Aktivitäten. Sie liest unter anderem das Adressbuch und die Telefonnummer des Opfers aus. Auch Details zum verwendeten Smartphone, der Android-Version, dem Mobilfunkanbieter sowie installierten Apps werden abgefragt.

Um einer Erkennung zu entgehen, kann FakeSpy feststellen, ob die Malware auf einem echten Android-Gerät oder in einem Emulator läuft. Wird ein Emulator erkannt, entfernt sich FakeSpy wieder.

Cybereason betont, dass FakeSpy kontinuierlich weiterentwickelt wird. Hinweise im Code sollen zudem auf einen Ursprung in China hindeuten. Unter anderem sind die Domains der Befehlsserver-Infrastruktur bei einem chinesischen ISP registriert.

„Die Malware-Autoren scheinen sich sehr um die Verbesserung dieser Malware zu bemühen und sie mit zahlreichen neuen Upgrades zu bündeln, die sie ausgefeilter machen. Diese Verbesserungen machen FakeSpy zu einem der mächtigsten Informationsdiebe auf dem Markt. Wir gehen davon aus, dass sich diese Malware mit zusätzlichen neuen Funktionen weiter entwickeln wird; die Frage ist nur, wann die nächste Welle kommt“, lautet das Fazit der Cybereason-Forscher.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago