Categories: MobileMobile OS

FakeSpy: Android-Malware nimmt Apps für Postdienstleistungen ins Visier

Cybereason warnt vor einer neuen Variante der Android-Malware FakeSpy, die erstmals 2017 beschreiben wurde. Bei der aktuellen Kampagne soll eine deutlich verbesserte und leistungsfähigere Version zum Einsatz kommen, die auch über zusätzliche Verschleierungstechniken verfügt. Neu ist auch, dass sich FakeSpy als staatliche Post- und Transport-Apps tarnt.

Darüber hinaus beschränken sich die Hintermänner der Analyse zufolge nicht mehr nur auf ostasiatische Länder. Aktuell ist die Malware auch in Frankreich, der Schweiz, den USA, Großbritannien und Deutschland aktiv.

Die eigentliche Aufgabe von FakeSpy ist der Diebstahl von Informationen. Ein wichtiges Merkmal der Malware ist, dass sie SMS-Nachrichten stehlen und versenden kann. Diese Fähigkeit nutzt sie für sogenanntes Smishing oder SMS-Phishing, einer Taktik, die sich auf Social Engineering stützt. Gefälschte Textnachrichten sollen Opfer dazu verleiten, auf einen bösartigen Link zu klicken, über den ein schädliches Android-Installationspaket (APK) heruntergeladen wird.

Die gefälschten SMS-Nachrichten geben aktuell vor, von einer Postfiliale zu stammen, mit einem Link zu einer App, hinter der sich FakeSpy verbirgt. Unter anderem bieten die Hintermänner gefälschte Apps der britischen Royal Mail, der Schweizer Post, der United States Postal Service, der französischen La Poste und der Deutschen Post an.

Die gefährlichen Apps wiederum wurden mithilfe der Android-Komponente WebView erstellt. Darüber wird unter anderem die legitime Website des jeweiligen Postanbieters geladen, um die schädliche Apps vertrauenswürdiger zu machen. Damit soll auch eine wichtige Hürde für die Installation der eigentlichen Schadsoftware genommen werden, nämlich die Berechtigung für die Installation einer App aus einer unbekannten Quelle.

Lässt sich ein Opfer täuschen, fragt die Malware bei der Installation unter anderem die Berechtigungen für das Lesen, Empfangen, Schreiben und Senden von SMS ab. Sie benötigt außerdem den Zugriff auf den internen und externen Speicher. Wichtig ist auch Berechtigung für das Einblenden von Systemmeldungen, die eine geöffnete App überlagern. Darüber hinaus sollen Nutzer auch bestätigen, dass die App die Energiespareinstellungen verändern darf, damit sich auch bei ausgeschaltetem Bildschirm aktiv bleiben kann. „Diese Rückfragen setzen voraus, dass der Endbenutzer die Erlaubnisänderungen akzeptiert, und weisen auf die Bedeutung einer gesunden Skepsis bei der Erteilung von Genehmigungen für App-Berechtigungen hin“, erklärte Cybereason.

Erst danach beginnt die Malware mit ihren eigentlichen Aktivitäten. Sie liest unter anderem das Adressbuch und die Telefonnummer des Opfers aus. Auch Details zum verwendeten Smartphone, der Android-Version, dem Mobilfunkanbieter sowie installierten Apps werden abgefragt.

Um einer Erkennung zu entgehen, kann FakeSpy feststellen, ob die Malware auf einem echten Android-Gerät oder in einem Emulator läuft. Wird ein Emulator erkannt, entfernt sich FakeSpy wieder.

Cybereason betont, dass FakeSpy kontinuierlich weiterentwickelt wird. Hinweise im Code sollen zudem auf einen Ursprung in China hindeuten. Unter anderem sind die Domains der Befehlsserver-Infrastruktur bei einem chinesischen ISP registriert.

„Die Malware-Autoren scheinen sich sehr um die Verbesserung dieser Malware zu bemühen und sie mit zahlreichen neuen Upgrades zu bündeln, die sie ausgefeilter machen. Diese Verbesserungen machen FakeSpy zu einem der mächtigsten Informationsdiebe auf dem Markt. Wir gehen davon aus, dass sich diese Malware mit zusätzlichen neuen Funktionen weiter entwickeln wird; die Frage ist nur, wann die nächste Welle kommt“, lautet das Fazit der Cybereason-Forscher.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ungepatchte Lücke in der Windows-Druckwarteschlange verschafft Malware Admin-Rechte

Forscher umgehen einen von Microsoft im Mai bereitgestellten Patch. Die neue Lücke soll das Einschleusen…

2 Tagen ago

Bericht: Microsoft strebt Übernahme des weltweiten Geschäfts von TikTok an

Dazu gehören auch die Märkte in Europa und Indien. US-Präsident Trump verstärkt indes den Druck…

2 Tagen ago

Durchgesickerte interne Dokumente: Intel prüft Einbruch in seine Systeme

Ein Hacker stiehlt angeblich 20 GByte Daten von Intel. Es handelt sich zum Teil um…

2 Tagen ago

Cisco warnt vor Sicherheitslücken in Routern, Switches und AnyConnect VPN

Sie erlauben Denial-of-Service-Angriffe und den Diebstahl vertraulicher Informationen. Der AnyConnect-Client für Windows gibt Hackern Zugriff…

3 Tagen ago

295 Chrome-Erweiterungen kapern Suchanzeigen von Google und Bing

AdGuard entdeckt sie bei der Suche nach gefälschten Adblockern. Die Erweiterungen bringen es zusammen auf…

3 Tagen ago

Samsung verlängert Android-Upgrades auf drei Jahre

Die Änderung gilt auch für ältere Smartphones wie das Galaxy S10. Es erfährt 2021 nun…

3 Tagen ago