Die Popularität des Online-Shoppings hat in den letzten Jahren zugenommen, was durch die Pandemie noch weiter beschleunigt wurde. Um diese bequeme Möglichkeit, nie die Couch verlassen zu müssen, um neue Dinge zu kaufen, noch bequemer zu machen, nutzen die Menschen zunehmend ihre Smartphones anstelle von Computern zum Einkaufen: Im 1. Quartal 2021 machten Smartphones 69% aller Website-Besuche weltweit aus, und Käufe per Smartphone machten 57% der Online-Bestellungen aus. Ein bemerkenswerter Aspekt beim Kauf von Waren und Dienstleistungen über ein mobiles Gerät ist, dass 53% der Smartphone-Nutzer dies über anbieterspezifische Apps tun.
Cyberkriminelle nutzen dieses Wissen aus, indem sie potentielle Käufer dazu verleiten, bösartige Anwendungen herunterzuladen. In einer laufenden Kampagne, die sich an die Kunden von acht malaysischen Banken richtet, versuchen Bedrohungsakteure, Bankanmeldeinformationen zu stehlen. Das tun Sie, indem sie gefälschte Websites verwenden, die sich als legitime Dienste ausgeben. In einigen Fällen wird das Original direkt kopiert. Diese Websites verwenden ähnliche Domainnamen wie die Dienste, die sie imitieren, um ahnungslose Opfer anzuziehen.
Kampagnenübersicht
Diese Kampagne wurde erstmals Ende 2021 entdeckt. Die Angreifer gaben sich dabei als legitimer Reinigungsdienst Maid4u ausgaben. Die Kampagne, die über Facebook-Anzeigen verbreitet wird, verleitet potenzielle Opfer dazu, Android-Malware von einer bösartigen Website herunterzuladen. Sie ist zur Veröffentlichung dieses Blogposts immer noch aktiv. Seit ihrer Entdeckung sind mehrere weitere Distributions-Domains hinzugekommen. Im Januar 2022 teilte MalwareHunterTeam zudem drei weitere bösartige Websites und Android-Trojaner, die dieser Kampagne zugeschrieben werden.
Darüber hinaus fanden ESET-Forscher vier andere gefälschte Websites. Alle sieben Websites gaben sich als Dienste aus, die nur in Malaysia verfügbar sind: Sechs von ihnen, Grabmaid, Maria's Cleaning, Maid4u, YourMaid, Maideasy und MaidACall, bieten Reinigungsdienste an, und die siebte ist eine Zoohandlung namens PetsMore. Ein Vergleich der legitimen und nachgeahmten Versionen von Grabmaid und PetsMore ist in den Abbildungen 1 bzw. 2 zu sehen.
Abbildung 1. Grabmaid: legitime Website auf der linken Seite, Nachahmung auf der rechten Seite
Abbildung 2. PetsMore: legitime Website links, Nachahmung rechts
Die gefälschten Websites bieten keine Möglichkeit, direkt über sie einzukaufen. Stattdessen enthalten sie Schaltflächen, die vorgeben, Apps von Google Play herunterzuladen. Das Anklicken dieser Schaltflächen führt jedoch nicht zum Google Play Store, sondern zu Servern, die von den Bedrohungsakteuren kontrolliert werden. Damit dieser Angriff erfolgreich ist, müssen die Opfer die standardmäßig deaktivierte Option "Unbekannte Apps installieren" auf ihren Geräten aktivieren. Interessanterweise gibt es für fünf der sieben legitimen Versionen dieser Dienste nicht einmal eine App bei Google Play.
Um den Anschein der Echtheit zu erwecken, fordern die Anwendungen die Benutzer nach dem Start auf, sich anzumelden. Auf der Serverseite findet jedoch keine Kontoprüfung statt - die Software nimmt jede Eingabe des Benutzers entgegen und erklärt sie stets für korrekt. Um den Anschein eines echten E-Shops aufrechtzuerhalten, geben die bösartigen Anwendungen vor, Waren und Dienstleistungen zum Kauf anzubieten, wobei sie der Benutzeroberfläche der ursprünglichen Shops entsprechen (siehe Abbildung 3 mit einem Screenshot des Warenkorbs in einer der bösartigen Anwendungen). Wenn es an der Zeit ist, die Bestellung zu bezahlen, werden den Opfern Zahlungsoptionen angeboten - sie können entweder per Kreditkarte oder durch Überweisung des erforderlichen Betrags von ihrem Bankkonto bezahlen. Bei unseren Recherchen war es nicht möglich, die Kreditkartenoption zu wählen.
Abbildung 3. Der Einkaufskorb in einer bösartigen Anwendung
Wie bereits erwähnt, ist es das Ziel der Malware-Betreiber, an die Bankdaten ihrer Opfer zu gelangen. Nach der Auswahl der Direktüberweisungsoption wird den Opfern eine gefälschte FPX-Zahlungsseite angezeigt, auf der sie aufgefordert werden, ihre Bank aus den acht angebotenen malaysischen Banken auszuwählen und dann ihre Anmeldedaten einzugeben. Die Zielbanken sind Maybank, Affin Bank, Public Bank Berhad, CIMB Bank, BSN, RHB, Bank Islam Malaysia und Hong Leong Bank, wie in Abbildung 4 zu sehen.
Abbildung 4. Zielbanken
Nachdem die unglücklichen Opfer ihre Bankdaten eingegeben haben, erhalten sie eine Fehlermeldung, die besagt, dass die angegebene Benutzer-ID oder das Passwort ungültig sind (Abbildung 5). Zu diesem Zeitpunkt sind die eingegebenen Zugangsdaten bereits an die Malware-Betreiber gesendet worden, wie Abbildung 6 zeigt.
Abbildung 5. Fehlermeldung, die dem Opfer angezeigt wird, nachdem die Anmeldeinformationen exfiltriert wurden
Abbildung 6. Anmeldeinformationen werden an den Server des Angreifers gesendet
Um sicherzustellen, dass die Bedrohungsakteure auf die Bankkonten ihrer Opfer zugreifen können, leiten die gefälschten E-Shop-Anwendungen auch alle SMS-Nachrichten, die das Opfer erhält, an die Betreiber weiter, falls sie von der Bank gesendete Codes für die Zwei-Faktor-Authentifizierung (2FA) enthalten (siehe Abbildung 7).
Abbildung 7. Alle empfangenen SMS-Nachrichten werden an den Server des Angreifers weitergeleitet
Malware Beschreibung
Die beobachtete Malware ist eher minimalistisch: Sie ist so konzipiert, dass sie nur eine einzige Zugriffsberechtigung anfordert, nämlich das Lesen empfangener SMS-Nachrichten. Ihr Ziel ist es, Bankdaten abzufangen und 2FA-SMS-Nachrichten von dem kompromittierten Gerät an die Betreiber weiterzuleiten. Da die Malware nicht in der Lage ist, SMS-Nachrichten vom Gerät zu entfernen, kann sie nicht verbergen, dass jemand versucht, auf das Bankkonto des Opfers zuzugreifen.
Bislang zielt die Malware nur auf Malaysia ab - sowohl die E-Shops, für die sie sich ausgibt, als auch die Banken, auf deren Zugangsdaten sie es abgesehen hat, sind malaysisch, und die Preise in den Anwendungen werden alle in der Landeswährung, dem malaysischen Ringgit, angezeigt.
Einer der Dienste, die sich in der Kampagne ausgeben, MaidACall, hat seine Nutzer bereits in einem Facebook-Post vor dieser betrügerischen Kampagne gewarnt (siehe Abbildung 8). Die anderen haben sich noch nicht öffentlich zu diesem Thema geäußert.
Abbildung 8. Warnmeldung eines Dienstes, der während der Kampagne nachgeahmt wurde
Wir haben in allen drei analysierten Anwendungen denselben Schadcode gefunden, was uns zu dem Schluss führt, dass sie alle demselben Bedrohungsakteur zugeordnet werden können.
Tipps
Um sich vor dieser Art von Bedrohung zu schützen, versuchen Sie zunächst sicherzustellen, dass Sie legitime Websites zum Einkaufen verwenden:
- Überprüfen Sie, ob die Website sicher ist, d.h. ihre URL beginnt mit https://. Einige Browser weigern sich möglicherweise sogar, Nicht-HTTPS-Websites zu öffnen, und warnen Benutzer explizit oder bieten eine Option zum Aktivieren des nur HTTPS-Modus.
- Seien Sie vorsichtig beim Klicken auf Anzeigen und gesponserten Ergebnissen in Suchmaschinen: Es ist möglich, dass sie nicht zur offiziellen Website führen
Zusätzlich gelten folgende nützliche Tipps, um ein sichereres Online-Einkaufserlebnis auf Ihrem Smartphone zu genießen:
- Achten Sie auf die Quelle der Anwendungen, die Sie herunterladen. Stellen Sie sicher, dass Sie zur App-Installation tatsächlich zum Google Play Store weitergeleitet werden.
- Verwenden Sie nach Möglichkeit Software oder Hardware 2FA anstelle von SMS
- Verwenden Sie mobile Sicherheitslösungen, um schädliche Websites und bösartige Apps zu erkennen
Fazit
Bei der beobachteten Kampagne handelt es sich um eine gefälschte E-Shop-Masche, die auf die Bankdaten von Android-Nutzern in Malaysia abzielt. Sie nutzt die Beliebtheit der Nutzung von Smartphones für Online-Einkäufe aus. Anstelle von Phishing nach Bankdaten auf Websites haben die Bedrohungsakteure Android-Anwendungen in die Infektionskette eingeschleust. So stellen sie sicher, dass sie Zugang zu 2FA-SMS-Nachrichten haben, die das Opfer wahrscheinlich erhält. Die Masche verwendet Werbeanzeigen, um potenzielle Opfer auf nachgeahmte Versionen legitimer Websites zu locken. Dort werden sie über eine gefälschte Google Play-Download-Schaltfläche zu einer bösartigen Anwendung geleitet, die von den Malware-Betreibern über eine Drittanbieter-Website verbreitet wird.
Die Kampagne zielt vorerst ausschließlich auf Malaysia ab, könnte sich aber später auf andere Länder und Banken ausweiten. Im Moment haben es die Angreifer auf Bankdaten abgesehen, aber in Zukunft könnten sie auch Kreditkarteninformationen stehlen.
Indicators of compromise (IoCs)
Samples
| First seen | MD5 | SHA-1 | SHA-256 | Package name | Description | C&C | ESET detection name |
|---|---|---|---|---|---|---|---|
| 2022-01-04 | CB66D916831DE128CCB2FCD458067A7D | ABC7F3031BEC7CADD4384D49750665A1899FA3D4 | 9B4A0019E7743A46B49A4D8704FFD6E064DB2E5D8DB6DA4056F7EAE5369E16F9 | com.app.great | Malicious app impersonating Grabmaid service. | muapks[.]online | Android/Spy.SmsSpy.UZ |
| 2022-02-23 | 8183862465529F6A46AED60E1B2EAE52 | BEDDFE5A26811DCCCA7938D00686F8F745424F57 | E949BAC52D39B6E207A7943EC778D96D8811FB63D4A037F70E5B6E6706A12986 | com.app.great | Malicious app impersonated Maria’s Cleaning service. | m4apks[.]online | Android/Spy.SmsSpy.UZ |
| 2022‑02‑08 | B6845141EC0F4665A90FB16598F56FAC | 1C984FB282253A64F11EE4576355C1D5EFBEE772 | D1017952D1EF0CEEC6C2C766D2C794E8CC4FB61B2FFA10ED6B6228E8CADF0B39 | com.app.great | Malicious app impersonating Maid4u service. | maid4uapks90[.]online | Android/Spy.SmsSpy.UZ |
| 2022-01-03 | 43727320E8BF756FE18DB37483DAD0A0 | E39C485F24D239867287DCD468FC813FDB5B7DB6 | 5F8A54D54E25400F52CE317BFDBBC866E11EA784AB2D5E3BD0A082A53C6B2D7B | com.app.services | Malicious app impersonating MaidACall service. | grabsapks[.]online | Android/Spy.SmsSpy.UZ |
| 2022‑02‑09 | C51BC547A40034F4828C72F37F2F1F39 | 1D33F53E2E9268874944C2F52E31CCAF2BF46A93 | D8BE8F7B8B224FCA2BB3E7632F6B97B67A74202DC4456F8A79A8856B478C0C6E | com.app.great | Malicious app impersonating MaidACall service. | grabmyapks90[.]online | Android/Spy.SmsSpy.UZ |
| 2022-01-08 | 4BEC6A07E881DB1A950367BEB1702ADA | 9A5A57BF49DBBEF2E66FEE98E5C97B0276D03D28 | A5C7373BE95571418C41AF0DE6A03CE78E82BC1F432E662C0DC42B988640E678 | com.pets.lover | Malicious app impersonating PetsMore service. | m4apks[.]online | Android/Spy.SmsSpy.UZ |
| 2022-01-17 | 4FD6255562B2A29C974235FD21B8D110 | BA78B1177C3E2A569A665611E7684BCEEAF2168F | DFF93FD8F3BC26944962A56CB6B31246D2121AE703298A86F20EA9E8967F6510 | com.app.great | Malicious app impersonating PetsMore service. | m4apks[.]online | Android/Spy.SmsSpy.UZ |
| 2022-01-30 | C7DCBD2B7F147A6450C62A8D67207465 | 0E910AD1C33BEF86C9FDBBE4654421398E694329 | A091B15F008B117167A17A8DB4C19E60BD9C99F1047BC82D60E3FD42157333AE | com.app.great | Malicious app impersonating YourMaid service. | grabmaidsapks80[.]online | Android/Spy.SmsSpy.UZ |
| 2021-10-09 | 71341FC2958E65D208F2770185C61D7A | 5237D3FAE84BB5D611C80338CF02EB3793C30F02 | 4904C26E90DC4D18AD6A2D291AF2CD61390661B628F202ABFEDDF8056502F64A | com.company.gamename | Malicious app impersonating Maid4u service. | 124.217.246[.]203:8099 | Android/Spy.SmsSpy.UJ |
| 2021-12-13 | CF3B20173330FEA53E911A229A38A4BC | B42CD5EC736FCC0D51A1D05652631BE50C9456A0 | 6DB2D526C3310FAD6C857AA1310F74DC0A5FE21402E408937330827ACA2879B7 | com.great.blue | Malicious app impersonating Maideasy service. | meapks[.]xyz | Android/Spy.SmsSpy.UZ |
Netzwerk
| IP | Provider | First seen | Details |
|---|---|---|---|
| 185.244.150[.]159 | Dynadot | 2022-01-20 19:36:29 | token2[.]club Distribution website |
| 194.195.211[.]26 | Hostinger | 2022-01-08 14:33:32 | grabamaid-my[.]online Distribution website |
| 172.67.177[.]79 | Hostinger | 2022-01-03 08:20:50 | maidacalls[.]online Distribution website |
| 172.67.205[.]26 | Hostinger | 2022-01-03 13:40:24 | petsmore[.]online Distribution website |
| 172.67.174[.]195 | Hostinger | 2022-02-23 00:45:06 | cleangmy[.]site Distribution website |
| N/A | Hostinger | 2022-01-24 17:40:14 | my-maid4us[.]site Distribution website |
| N/A | Hostinger | 2022-01-27 14:22:10 | yourmaid[.]online Distribution website |
| 194.195.211[.]26 | Hostinger | 2021-11-19 05:35:01 | muapks[.]online C&C server |
| 194.195.211[.]26 | Hostinger | 2021-11-19 05:23:22 | grabsapks[.]online C&C server |
| 104.21.19[.]184 | Hostinger | 2022-01-20 03:47:48 | grabmyapks90[.]online C&C server |
| 104.21.29[.]168 | Hostinger | 2021-12-22 12:35:42 | m4apks[.]online C&C server |
| 172.67.208[.]54 | Hostinger | 2022-01-17 09:22:02 | maid4uapks90[.]online C&C server |
| 172.67.161[.]142 | Hostinger | 2022-01-22 06:42:37 | grabmaidsapks80[.]online C&C server |
| 2.57.90[.]16 | Hostinger | 2022-01-10 23:51:29 | puapks[.]online C&C server |
| 124.217.246[.]203 | Hostinger | 2021-09-15 03:50:28 | 124.217.246[.]203:8099 C&C server |
| 172.67.166[.]180> | Hostinger | 2021-12-24 15:54:34 | meapks[.]xyz C&C server |
MITRE ATT&CK Techniken
Diese Tabelle wurde mit der Version 10 des ATT&CK-Frameworks erstellt.
| Tactic | ID | Name | Description |
|---|---|---|---|
| Initial Access | T1444 | Masquerade as Legitimate Application | Fake websites provide links to download malicious Android apps. |
| T1476 | Deliver Malicious App via Other Means | Malicious apps are delivered via direct download links behind fake Google Play buttons. | |
| Credential Access | T1411 | Input Prompt | Malware displays fake bank log in screens to harvest credentials. |
| T1412 | Capture SMS Messages | Malware captures received SMS messages so it has 2FA codes for bank logins. | |
| Collection | T1412 | Capture SMS Messages | Malware captures received SMS messages that might contain other interesting data besides 2FA codes for bank logins. |
| Exfiltration | T1437 | Standard Application Layer Protocol | Malicious code exfiltrates credentials and SMS messages over standard HTTPS protocol. |
