WAPDropper: Android-Malware abonniert Premium-Dienste

Sicherheitsforscher von Check Point warnen vor einer neuen Android-Malware, die derzeit vor allem in Südostasien aktiv ist. WAPDropper wird demnach über schädliche Apps verbreitet, die in App-Stores von Drittanbietern erhältlich sind. Die Schadsoftware registriert Nutzer bei kostenpflichtigen Premium-Diensten, die über das Wireless Application Protocol (WAP) abgewickelt werden.

Die als WAP-Betrug bezeichnete Taktik war ab den 2000er Jahren bei Cyberkriminellen beliebt. Nutzer, die ohne ihr Wissen für einen Premium-Dienst registriert werden, zahlten die damit verbundenen Kosten in der Regel über ihre Telefonrechnung. Dass sie „gehackt“ wurden, fiel ihnen somit meist erst nach Erhalt der ersten Rechnung auf.

Mit dem Aufkommen von Smartphones sowie schärferen Regeln für den Schutz von Verbrauchern verlor das WAP-Protokoll an sich und somit auch der darauf basierende Betrug an Bedeutung. Seit einigen Jahren machen sich laut Check Point Malware-Autoren den Umstand zunutze, dass diese viele moderne Geräte und auch Telefonanbieter weiterhin den alten WAP-Standard unterstützen.

Check Point geht zudem davon aus, dass die Hintermänner mit Kriminellen in Thailand oder Malaysia zusammenarbeiten. Das sollen die verwendeten Premium-Telefonnummern nahelegen. „Es ist ein einfaches Zahlenspiel: Je mehr Anrufe über die Mehrwertdienste getätigt werden, desto mehr Einnahmen werden für die Hintermänner dieser Dienste generiert. Alle gewinnen, außer den unglücklichen Opfern des Betrugs.“

WAPDropper besteht der Analyse zufolge auf zwei Modulen, einem Dropper und der eigentlichen Schadsoftware, die Nutzer für die Premium-Dienste registriert. In den schädlichen Apps befinde sich lediglich der Dropper, der nach der Installation einer verseuchten App die zweite Komponente herunterlade und den eigentlichen Betrug starte.

Das könnte den Forschern zufolge allerdings nur der Anfang sein. „Im Moment schleust diese Malware einen Premium-Dialer ein, aber in Zukunft kann sich diese Nutzlast so verändern, dass sie alles einschleust, was der Angreifer will“, sagte Aviran Hazum, Manager of Mobile Research bei Check Point, im Gespräch mit ZDNet USA. „Diese Art von multifunktionalen ‚Droppern‘, die sich heimlich auf dem Telefon des Benutzers installieren und dann weitere Malware herunterladen, ist ein wichtiger Trend bei der Infektion von Mobiltelefonen, den wir im Jahr 2020 beobachten konnten. Diese ‚Dropper‘-Trojaner stellten fast die Hälfte aller mobilen Malware-Angriffe zwischen Januar und Juli 2020 dar, mit kombinierten Infektionen in einer Größenordnung von mehreren hundert Millionen weltweit.“

Check Point rät Nutzern, Apps ausschließlich über offizielle Marktplätze wie den Google Play Store zu beziehen. WAPDropper fanden sie unter anderem in einer E-Mail-App namens Email und dem Spiel Awesome Polar Fishing. Nutzer, die diese Apps von außerhalb des Play Store geladen haben, sollten sie umgehend von ihren Android-Geräten entfernen.