Mobile Malware
22. Juli 2022, München, Zscaler | Autor: Herbert Wheeler
Vertrieb über Apps im Google Playstore
Das ThreatLabZ-Team von Zscaler hat kürzlich drei Malware-Familien identifiziert, Joker, Facestealer und Coper, die über Apps im Google Playstore vertrieben werden. Obwohl mehrere infizierte Apps daraufhin sofort aus dem Playstore entfernt wurden, besteht immer noch die Gefahr, dass Benutzer diese Apps heruntergeladen und Chaos angerichtet haben. Eine der infizierten Apps zielt mit dem Banking-Trojaner Coper auf Bankkunden in Deutschland, Europa, Australien und Südamerika ab.
Nach dem Herunterladen der QR-Scanner-App aktiviert diese die Coper-Malware auf dem Gerät des Opfers. Es verfügt über zahlreiche Funktionen wie das Abfangen und Versenden von SMS, das Versenden von USSD (Unstructured Supplementary Service Data) Anfragen, Keylogging, eine Bildschirmsperre oder Freigabefunktion für Dritte oder kann exzessive Angriffe durchführen. Darüber hinaus verhindert der Schadcode die Deinstallation und ermöglicht es Angreifern, die Kontrolle über das infizierte Gerät zu übernehmen und über einen Command&Control-Server Befehle aus der Ferne auszuführen. Das Ergebnis dieser Aktivitäten führt dazu, dass die Angreifer Informationen und Zugang erhalten, um Geld von den Opfern zu stehlen.
Bei der betroffenen App handelt es sich um einen kostenlosen QR-Scanner, getarnt als „Unicc QR Scanner“. Nach der Installation fordert die App den Benutzer sofort auf, die App zu aktualisieren. Anschließend installiert es einen Malware-Zähler oder eine Hintertür auf dem betroffenen Gerät, indem es das Google Firebase-App-Entwicklungstool verwendet, um die URL aufzurufen und zu empfangen, die zum Übermitteln der schädlichen Nutzlast verwendet wird. Malware-Akteure ändern ständig den Namen der installierten Payload. Die neu installierte Datei ist eine gefälschte App aus dem Google Playstore mit dem Paketnamen „com.fromtoo2“, die den Benutzer sofort auffordert, erweiterte Zugriffsberechtigungen zu erteilen, um die volle Kontrolle über das Telefon des Benutzers zu übernehmen. Die gefälschte Anwendung lädt im Hintergrund die ausführbare Datei „libWeEq.so“ und ruft die vordefinierte Funktion „MvsEujZ“ auf.
Die MvsEujZ-Funktion entschlüsselt eine ausführbare Datei und fordert den Benutzer auf, beim Start erhöhte Berechtigungen zu gewähren. Diese letzte Nutzlast verwendet Rivest Cipher 4 (RC4)-Verschlüsselung, um ihre bösartigen Signaturen zu verbergen und eine Erkennung zu vermeiden. Falls der Virtual Network Computing (VNC)-Dienst nicht für den Fernzugriff verfügbar ist, verwenden Malware-Autoren die TeamViewer-Android-Anwendung, um den Bildschirm des infizierten Geräts zu überwachen. Bösartiges Javascript wird in den Hintergrund von WebView geladen, damit Angreifer über eine Command-and-Control-Serververbindung die volle Kontrolle übernehmen können, um das Opfer zu kompromittieren und schließlich zu erpressen.
Marc Lück, CISO EMEA bei Zscaler, erklärt die potenziellen Gefahren mobiler Malware: „Mobile Geräte sind so zu einem Teil unseres Lebens geworden, dass wir uns bei vielen alltäglichen Dingen auf sie verlassen, vom Zugriff auf Daten und der Arbeit mit Anwendungen bis hin zu Bankgeschäften und E-Commerce. Darauf setzt mobile Malware in all ihren Facetten, um die Geräte der Nutzer zu kompromittieren und von Angriffen zu profitieren.