Zimperium, Sicherheitsexperte für Echtzeitschutz auf Mobilgeräten, hat Informationen über eine neue Android-Malware-Kampagne veröffentlicht. Kredit-Apps, über die sich Nutzer auch tatsächlich Geld leihen können, schleusen demnach bösartigen Code ein, um private und sensible Informationen von kompromittierten Mobilgeräten zu stehlen.
Das Zimperium-Forscherteam deckte auf, dass die im Rahmen der MoneyMonger-Kampagne geraubten Privatdaten im Anschluss zu Erpressungszwecken eingesetzt werden.
Die neuartige Malware ist seit Mai 2022 aktiv und wird über Social Engineering als vermeintlich legitime App für Sofortkredite verbreitet. Bei der Einrichtung der App erhalten interessierte Nutzer die Nachricht, dass weitere Berechtigungen auf dem mobilen Endpunkt erforderlich sind, um die ordnungsgemäße Zuteilung der gewünschten Geldbeträge sicherzustellen. Mit den gewährten Zugriffsrechten gelangen die Hacker an private Informationen auf dem betreffenden Mobilgerät. MoneyMonger lädt diese Daten betroffener Nutzer auf einen eigenen Server hoch — einschließlich der installierten Apps, GPS-Standortdaten, SMS-Nachrichten, Kontakt- und Gerätedaten, Bilder, Metadaten und weiteren Infos.
Die gestohlenen Informationen werden dazu verwendet, die Opfer zu erpressen, zu bedrohen und zur Zahlung hoher Zinsbeträge zu zwingen. Treffen die Zahlungen nicht rechtzeitig ein, drohen die böswilligen Akteure, vertrauliche Informationen weiterzugeben, Personen aus der Kontaktliste anzurufen oder Fotos vom Gerät weiterzugeben. In einigen Fällen gingen die Erpressungsforderungen sogar nach vollständiger Rückzahlung der ursprünglichen Kreditsumme weiter.
MoneyMonger gefährdet sowohl Einzelpersonen als auch Unternehmen, da eine Vielzahl von Privatdaten und sensiblen Geschäftsdaten vom Endgerät ausgelesen werden. Die böswilligen Akteure hinter MoneyMonger entwickeln und aktualisieren die App kontinuierlich weiter, um gängige Erkennungsverfahren umgehen zu können. So werden beispielsweise Strings in Java mit XOR verschlüsselt und weitere Informationen mit Dart und Flutter hinzugefügt. Die Gesamtzahl der betroffenen Nutzer ist aufgrund der Verwendung von Drittanbieter-Stores und Sideloading unbekannt. Viele der nicht autorisierten App-Stores zählen jedoch mehr als 100.000 Downloads der Malware.
Die Schadsoftware MoneyMonger nutzt das Open-Source-Framework Flutter, das die Entwicklung mobiler Anwendungen auf Android, iOS und anderen Plattformen unterstützt. Mittels Flutter verstecken die Entwickler bösartige Funktionen und erschweren die Erkennung verdächtiger Aktivitäten durch statische Analyseverfahren, die von herkömmlichen Smartphone-Sicherheitsprodukten eingesetzt werden. Die MoneyMonger-Malware wird bisher ausschließlich über App-Stores von Drittanbietern verbreitet oder durch Phishing-Nachrichten, kompromittierte Websites, Social-Media-Kampagnen und vergleichbare Taktiken als Download angeboten.
„Mit der neuartigen MoneyMonger-Malware-Kampagne sehen wir einen wachsenden Trend, dass böswillige Akteure auf Erpressungsmethoden und Drohungen setzen, um an das Geld ihrer Opfer zu gelangen“, betonte Richard Melick, Director Mobile Threat Intelligence bei Zimperium. „Zweifelhafte Sofortkreditprogramme sind häufig durch räuberische Methoden wie hohe Zinslasten und lange Rückzahlzeiten gekennzeichnet, aber in diesem Fall verfügen die Erpresser über eine besonders hohe, kriminelle Energie. Jedes Gerät, das im Firmenumfeld eingesetzt wird, stellt damit ein Risiko für das Unternehmen dar, wenn Mitarbeiter auf den MoneyMonger-Sofortkreditbetrug hereingefallen sind.“
Weitere Informationen zur Malware „MoneyMonger“ sowie eine detaillierte Beschreibung der Funktionsweise des Schadprogramms sollten hier verfügbar sein.
www.zimperium.com