Im Rahmen einer weit verbreiteten Phishing-Kampagne werden sozial manipulierte SMS-Nachrichten verwendet, um Malware auf Android-Geräten zu installieren, die sich als iranische Regierung und Sozialversicherungsdienste ausgeben, um Kreditkartendaten zu ergaunern und Geld von den Bankkonten der Opfer zu stehlen.
Im Gegensatz zu anderen Varianten von Banking-Malware, die auf Overlay-Angriffe setzen, um sensible Daten ohne das Wissen des Opfers abzufangen, sind die von Check Point Research aufgedeckten bösartigen Anwendungen so konzipiert, dass sie die Zielpersonen dazu verleiten, ihre Kreditkarteninformationen preiszugeben, indem sie ihnen eine legitim aussehende SMS-Nachricht mit einem Link senden, der, wenn er angeklickt wird, eine bösartige Anwendung auf ihre Geräte herunterlädt.
„Die bösartige Anwendung sammelt nicht nur die Kreditkartennummern der Opfer, sondern verschafft sich auch Zugang zu deren 2FA-Authentifizierungs-SMS und verwandelt sie in eine SMS.[s] Gerät des Opfers in einen Bot, der ähnliche Phishing-SMS an andere potenzielle Opfer weiterleiten kann“, so Check Point-Forscher Shmuel Cohen in einem neuen Bericht, der am Mittwoch veröffentlicht wurde.
Das Cybersecurity-Unternehmen sagte, es habe mehrere hundert verschiedene Phishing-Android-Anwendungen aufgedeckt, die sich als Geräteverfolgungs-Apps, iranische Banken, Dating- und Shopping-Seiten, Kryptowährungsbörsen und regierungsbezogene Dienste ausgaben. Diese Botnets wurden als „gebrauchsfertiges mobiles Kampagnen-Kit“ auf Telegram-Kanälen für 50 bis 150 US-Dollar verkauft.
Die Infektionskette des Smishing-Botnets beginnt mit einer gefälschten Benachrichtigung der iranischen Justiz, in der die Nutzer aufgefordert werden, eine angebliche Klage gegen die Empfänger der Nachricht zu prüfen. Der Link zu der Beschwerde leitet die Opfer auf eine Website, die angeblich wie eine Regierungsseite aussieht, wo sie aufgefordert werden, ihre persönlichen Daten (z. B. Name, Telefonnummer usw.) einzugeben und eine Android-APK-Datei herunterzuladen.
Nach der Installation fordert die bösartige Anwendung nicht nur invasive Berechtigungen zur Durchführung von Aktivitäten an, die im Allgemeinen nicht mit solchen Regierungs-Apps in Verbindung gebracht werden, sondern sie präsentiert auch einen gefälschten Anmeldebildschirm, der Sana, das elektronische Benachrichtigungssystem des Landes, nachahmt, und fordert das Opfer auf, eine Gebühr von 1 US-Dollar zu zahlen, um weiterzumachen.
Benutzer, die sich dafür entscheiden, werden dann auf eine gefälschte Zahlungsseite umgeleitet, die die eingegebenen Kreditkarteninformationen sammelt, während die installierte App als heimliche Hintertür fungiert, um die von der Kreditkartenfirma gesendeten Einmal-Passcodes zu stehlen und weiteren Diebstahl zu erleichtern.
Darüber hinaus verfügt die Malware über eine Fülle von Funktionen, die es ihr ermöglichen, alle von einem Gerät empfangenen SMS-Nachrichten an einen vom Angreifer kontrollierten Server zu übermitteln, ihr Symbol auf dem Startbildschirm zu verbergen, um Versuche, die App zu entfernen, zu vereiteln, zusätzliche Nutzdaten bereitzustellen und wurmartige Fähigkeiten zu erwerben, um ihre Angriffsfläche zu erweitern und benutzerdefinierte Smishing-Nachrichten an eine Liste von Telefonnummern zu verbreiten, die vom Server abgerufen wurden.
„Dies ermöglicht es den Akteuren, Phishing-Nachrichten von den Telefonnummern typischer Nutzer zu verbreiten, anstatt von einer zentralen Stelle aus und nicht auf eine kleine Anzahl von Telefonnummern beschränkt zu sein, die leicht blockiert werden könnten“, erklärte Cohen. „Das bedeutet, dass es technisch gesehen keine ‚bösartigen‘ Nummern gibt, die von den Telekommunikationsunternehmen gesperrt oder zum Angreifer zurückverfolgt werden können.“
Erschwerend kommt hinzu, dass die Angreifer, die hinter der Operation stehen, nachweislich eine unzureichende operative Sicherheit (OPSEC) anwenden, so dass jeder Dritte ungehindert auf die Telefonnummern, Kontakte, SMS-Nachrichten und die Liste aller Online-Bots auf ihren Servern zugreifen kann.
„Der Diebstahl von dynamischen 2FA-Codes ermöglicht es den Akteuren, langsam, aber stetig beträchtliche Geldbeträge von den Konten der Opfer abzuheben, selbst in Fällen, in denen aufgrund von Bankbeschränkungen jeder einzelne Vorgang nur einige Dutzend Dollar einbringen könnte“, so Cohen. „Zusammen mit der einfachen Annahme des Geschäftsmodells ‚Botnet as a Service‘ sollte es nicht überraschen, dass die Zahl solcher Anwendungen für Android und die Zahl derer, die sie verkaufen, wächst.“
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Russischer Mann erhält 60 Monate Gefängnis für die Bereitstellung von kugelsicherem Hosting für Cyber-Kriminelle