Telefonbetrug: Android-App schickt Opfer direkt zu den Tätern

In Asien aufgetauchte angebliche Banking-Apps leiten Anrufe bei Banken zu einem Call-Center von Betrügern um. Bislang ist das Vorgehen aber eher dilettantisch.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Telefonbetrug: Android-App schickt Opfer direkt zu den Tätern

(Bild: Free-Photos)

Lesezeit: 3 Min.
Von
  • Uli Ries

Ein Team aus südkoreanischen Sicherheitsforschern um Min-Chang Jang vom Korea Financial Security Institute präsentierten auf der IT-Sicherheitskonferenz Black Hat Asia eine bislang unbekannte Variante des Voice Phishing: Anstatt potentielle Opfer von einem Call-Center aus anzurufen, schleusten die Kriminellen einen als Online-Banking-App getarnten Trojaner auf die Android-Endgeräte der Opfer.

Wie die Forscher auf der Konferenz erläuterten, bleibt der Trojaner solange passiv, bis das Opfer seine Bank anrufen will. Dann manipuliert die Schadsoftware die angerufene Nummer so, dass stattdessen eine (wahrscheinlich per VoIP betriebene) koreanische Festnetznummer kontaktiert wird. Bei einem Testanruf meldete sich laut Jang ein fließend koreanisch sprechender Mann, der sich als Bankmitarbeiter ausgab und um Rückruf am Folgetag bat.

Das Perfide an dieser Masche: Die Opfer hatten zuvor auf einer von den Betrügern ins Netz gestellten Kreditvermittlungswebseite ihre persönlichen Daten eingegeben, um einen Kredit anzufragen. Anschließend schickten die Kriminellen eine SMS an die hinterlegte Mobilnummer. Inhalt: Der mögliche Zinssatz sowie die Aufforderung, durch Klick auf einen Link die erwähnte App zu installieren, mit der sich der Kreditantrag fertigstellen lässt. Der Link führte zu einer Webseite mit dem Downloadlink sowie Instruktionen, wie das Opfer die Installation von Apps aus unbekannten Quellen erlauben kann. Ein Anruf bei der vorgeblichen Bank war also wahrscheinlich, da die Opfer ja einen Kredit wünschten.

In der Schadsoftware hartcodierte URLs führten die Forscher sowohl zum Malware-Verteilungsserver als auch zum Command & Control-Server (C2). Beide waren über einen taiwanischen ISP per PPPoE angebunden und so schlecht gesichert, dass die Forscher problemlos Zugriff per Remote Desktop Protocol (RDP) beziehungsweise übers Web bekamen. Sie fanden unter anderem gut 3000 APKs (also Installationspakete für Android-Apps) mit verschiedensten Varianten der Malware, angepasst an die gängigsten koreanischen Banken. In den Installationspaketen entdeckten sie unter anderem zirka 20 Soundfiles: die Anruftöne, die die jeweilige Bank den Anrufenden als Klingelzeichen während des Verbindungsaufbaus einspielt.

Durch Aufruf des Admin-Panels auf dem C2-Server entdeckte Min-Chang Jang eine Tracking-Funktion. Der Schädling übermittelte den jeweiligen Aufenthaltsort des Endgeräts. Wahrscheinlich, so der Forscher, damit die Kriminellen überprüfen können, ob sich das Opfer auf dem Weg zum Geldautomaten beziehungsweise zum Treffen mit den für den Bargeld-Abtransport eingespannten Money Mules ist. Oder ob es stattdessen in die nächstgelegene Polizeidienststelle einläuft.

Bislang ist die App nicht nur aufgrund der umständlichen Installation nicht gerade leichtfüßig. Sie verrät auch die Manipulation der Telefonnummer, wenn das Opfer während des Anrufs die Liste der Telefongespräche aufruft. Dort ist die tatsächlich angerufene Nummer zu sehen. Erst nach dem Auflegen ersetzt der Trojaner sie durch die echte Nummer der Bank. (ovw)