Kaspersky warnt vor einem neuen Trojaner für Android, der über den offiziellen App-Marktplatz Google Play angeboten wird. Die als Fleckpe bezeichnete Malware sammelt Daten über Smartphone eines Opfers und nutzt diese, um im Namen des Nutzer – aber ohne dessen Wissen und Zustimmung – kostenpflichtige Abonnements abzuschließen.
Aktiv ist der Trojaner offenbar seit 2022. Bisher fand Kaspersky sieben mit Fleckpe infizierte Apps in Google Play. Zusammen wurden sie auf mehr als 620.000 Geräten installiert. Nach Angaben des Unternehmens wurden die sieben Apps inzwischen aus dem Play Store entfernt. Es sei aber nicht ausgeschlossen, dass weitere Apps der Hintermänner noch nicht entdeckt wurden – und die Zahl der Betroffenen höher sei, als bisher bekannt.
Wird eine der mit Fleckpe verseuchten Apps installiert und gestartet, fordert sie unter anderem die Berechtigung für den Zugriff auf Benachrichtigungen ein. Darüber hinaus wird eine sehr gut getarnte native Bibliothek geladen, die einen Dropper enthält. Der wiederum entschlüsselt den eigentlichen Schadcode und führt ihn aus.
Anschließend kontaktiert der Trojaner einen Befehlsserver der Hintermänner und übermittelt Daten, über die der Mobilfunkanbieter und das Land des Opfers ermittelt werden können. Im Gegenzug sendet der Befehlsserver laut Kaspersky eine Website zum Abschluss eines kostenpflichtigen Abonnements, die jedoch in einem nicht sichtbaren Browserfenster geöffnet wird. Dort versucht der Trojaner, ein Abonnement abzuschließen. Wird dafür ein Bestätigungscode benötigt, nutzt die Malware die zuvor erteilte Berechtigung für den Zugriff auf Benachrichtigungen, um den Code ohne Interaktion mit dem Opfer einzugeben und den Kauf des Abos abzuschließen.
Dieser Vorgang läuft ab, während die mit Fleckpe verseuchte App dem Nutzer die beworbenen legitimen Funktionen bietet. Unter anderem verstecken die Cyberkriminellen den Trojaner in Apps für die Bildbearbeitung oder für die Bereitstellung von Bildschirmhintergründen.
Kaspersky weist darauf hin, dass die Entwickler von Fleckpe den Trojaner stetig verbessern. Unter anderem soll dadurch die Erkennung der Malware erschwert werden. „Die Schadcode fängt jetzt nur noch Benachrichtigungen ab und zeigt Webseiten an und fungiert als Brücke zwischen dem nativen Code und den Android-Komponenten, die für den Kauf eines Abonnements erforderlich sind“, so Kaspersky weiter.
Abo-Trojaner sind Kaspersky zufolge ein neuer Trend. „Betroffene Nutzer entdecken die unerwünschten Abonnements oft nicht sofort, geschweige denn, dass sie herausfinden, wie es überhaupt dazu gekommen ist. All dies macht Abo-Trojaner in den Augen von Cyberkriminellen zu einer zuverlässigen illegalen Einnahmequelle.“
Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.
Ein einziges IT-Problem kann ein gesamtes Unternehmen zum Stillstand bringen. Insbesondere sicherheitsrelevante Vorfälle bedrohen dabei…
Viele Sicherheitsanwendungen erkennen die absichtlich beschädigte Dokumente nicht als gefährliche Dateien. Die Hintermänner haben es…
Ab einem Alter von 10 Jahren haben die meisten ein eigenes Smartphone. Hälfte zwischen 6…
Energieeffiziente flüssigkeitsgekühlte Rechenzentren bringen wissenschaftlichen Fortschritt in Biowissenschaften und Medizin voran.
Der Manager verlässt auch das Board of Directors. Während der Suche nach einem Nachfolger leiten…