Taschenlampe in Google Play enthielt gefährlichen Schädling

Eine App, die die modifizierte Ransomware Charger enthält, wurde in Google Play eingeschleust und mindestens 5.000 Mal heruntergeladen.

Die vorangegangene Charger-Version wurde im Januar dieses Jahres gefunden. Die Erpressersoftware, die für die Entsperrung des Gerätes 0,2 Bitcoin forderte, versteckte sich in EnergyRescue, einem Tool zur Akku-Verwaltung, das über Google Play verbreitet wird.

Die neue Variante des Schädlings war in die äußerlich legitime Taschenlampen-App Flashlight LED Widget integriert und im Gegensatz zu der Vorgängerversion ist das Abgreifen von Lösegeld für das Entsperren des Home-Bildschirms nicht das Ziel des Schädlings.

Die aktualisierte Charger-Version läuft auf allen Android-Versionen und ist in der Lage, sein wahres Wesen zu verbergen. Er zeigt Phishing-Bildschirme an, die die Funktionalität legitimer Anwendungen imitieren, fängt Textnachrichten ab und blockiert das Gerät vorübergehend, um Versuche zu unterbinden, die schädlichen Prozesse zu beenden.

Bei seiner Installation fordert der Schädling vom Anwender Administratorenrechte und die Erlaubnis an, seinen Bildschirm über anderen Apps anzuzeigen (in Android 6.0 und höher).

In der neuen Version mit dem Codenamen Charger.B wird zur Verbindung mit dem Steuerungsserver Firebase Cloud Messages (FCM) benutzt. Der Schädling sendet an den Server ein Foto des Nutzers, das mit der Frontkamera aufgenommen wurde. Die Forscher nehmen an, dass der neu erschienene Charger nicht über eine festgelegte Liste Banken-Apps verfügt.

Ausgehend von der Liste der auf einem infizierten Gerät installierten Apps, imitiert der Steuerungsserver die entsprechenden Aktivitäten und sendet schädlichen HTML-Code an das Gerät. Letztgenannter wird von WebView nach dem Start der anzugreifenden App ausgeführt. Dem Nutzer wird ein gefälschter Bildschirm angezeigt, auf dem die Kreditkartendaten oder die Zugangsdaten zum Online-Banking abgefragt werden.

Die Forscher registrierten Attacken auf Kunden der Commbank, NAB und Westpac Mobile Banking, ebenso wie auf User von Facebook, WhatsApp, Instagram und Google Play. Eine derart flexible Funktion macht es möglich, die Attacke an jede beliebige App anzupassen.

Das Blockieren des Smartphones ist ein Ablenkungsmanöver, um das Opfer zu beschäftigen, während die Angreifer sein Konto leer räumen. Die Anwender sehen einen gefälschten Bildschirm, auf dem ihnen mitgeteilt wird, dass auf dem Gerät ein Update installiert wird und es daher zum aktuellen Zeitpunkt nicht benutzt werden kann.

Die Analysten von ESET haben Charger.B entdeckt, Google über das Problem informiert und das umgehende Löschen aus dem Play Store bewirkt.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.