Kaspersky warnt vor einem neuen Trojaner für Android, der über den offiziellen App-Marktplatz Google Play angeboten wird. Die als Fleckpe bezeichnete Malware sammelt Daten über Smartphone eines Opfers und nutzt diese, um im Namen des Nutzer – aber ohne dessen Wissen und Zustimmung – kostenpflichtige Abonnements abzuschließen.
Aktiv ist der Trojaner offenbar seit 2022. Bisher fand Kaspersky sieben mit Fleckpe infizierte Apps in Google Play. Zusammen wurden sie auf mehr als 620.000 Geräten installiert. Nach Angaben des Unternehmens wurden die sieben Apps inzwischen aus dem Play Store entfernt. Es sei aber nicht ausgeschlossen, dass weitere Apps der Hintermänner noch nicht entdeckt wurden – und die Zahl der Betroffenen höher sei, als bisher bekannt.
Wird eine der mit Fleckpe verseuchten Apps installiert und gestartet, fordert sie unter anderem die Berechtigung für den Zugriff auf Benachrichtigungen ein. Darüber hinaus wird eine sehr gut getarnte native Bibliothek geladen, die einen Dropper enthält. Der wiederum entschlüsselt den eigentlichen Schadcode und führt ihn aus.
Anschließend kontaktiert der Trojaner einen Befehlsserver der Hintermänner und übermittelt Daten, über die der Mobilfunkanbieter und das Land des Opfers ermittelt werden können. Im Gegenzug sendet der Befehlsserver laut Kaspersky eine Website zum Abschluss eines kostenpflichtigen Abonnements, die jedoch in einem nicht sichtbaren Browserfenster geöffnet wird. Dort versucht der Trojaner, ein Abonnement abzuschließen. Wird dafür ein Bestätigungscode benötigt, nutzt die Malware die zuvor erteilte Berechtigung für den Zugriff auf Benachrichtigungen, um den Code ohne Interaktion mit dem Opfer einzugeben und den Kauf des Abos abzuschließen.
Dieser Vorgang läuft ab, während die mit Fleckpe verseuchte App dem Nutzer die beworbenen legitimen Funktionen bietet. Unter anderem verstecken die Cyberkriminellen den Trojaner in Apps für die Bildbearbeitung oder für die Bereitstellung von Bildschirmhintergründen.
Kaspersky weist darauf hin, dass die Entwickler von Fleckpe den Trojaner stetig verbessern. Unter anderem soll dadurch die Erkennung der Malware erschwert werden. „Die Schadcode fängt jetzt nur noch Benachrichtigungen ab und zeigt Webseiten an und fungiert als Brücke zwischen dem nativen Code und den Android-Komponenten, die für den Kauf eines Abonnements erforderlich sind“, so Kaspersky weiter.
Abo-Trojaner sind Kaspersky zufolge ein neuer Trend. „Betroffene Nutzer entdecken die unerwünschten Abonnements oft nicht sofort, geschweige denn, dass sie herausfinden, wie es überhaupt dazu gekommen ist. All dies macht Abo-Trojaner in den Augen von Cyberkriminellen zu einer zuverlässigen illegalen Einnahmequelle.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…