"SpyLend": Android-Malware aus Play-Store erpresst Opfer
IT-Forscher berichten von einer "SpyLend" genannten Malware aus dem Google-Play-Store, die Opfer mit sensiblen Informationen erpresst.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
IT-Sicherheitsforscher haben eine Malware aus dem Google-Play-Store entdeckt, die auf zigtausende Installationen kommt. Es geht um Finanzkriminalität, sie erpresst Opfer etwa mit sensiblen Daten, die auf deren Android-Smartphones liegen.
In einer Analyse nehmen IT-Forscher von Cyfirma die Malware auseinander. Sie steht respektive stand in Googles Play Store unter dem Namen "Finance Simplified" vom Anbieter com.someca.count zur Installation bereit. Die weiteren schädlichen Apps tragen den Installationspaket-Namen "KreditApple.apk" von com.kreditapplepronew.com, "Pokketme.apk" von com.poklaan.frein sowie "StashFur.apk" von com.stashfurpro.com. Cyfirma zufolge war die bösartige App "Finance Simplified" kurz vor dem Wochenende noch im Play Store verfügbar. Jetzt zeigt Google jedoch beim Versuch, die zugehörige Seite aufzurufen, eine 404-Fehlermeldung.
Teilentwarnung: Opfer in Indien gesucht
Die Täter suchen derzeit Opfer in Indien. Die Apps sollen "räuberische Kreditanfragen" stellen. Basierend auf Lokalisierung erhalten indische Interessenten nicht autorisierte Kredit-Apps angezeigt, die innerhalb der WebView-Komponenten laufen, wodurch die Angreifer die Schutzmechanismen des Play-Stores unterlaufen. Nach der Installation sammeln die Malware-Apps sensible Nutzerdaten, versuchen, ihnen ausbeuterische Kredite zu vermitteln, und setzen Erpressungsversuche zum Abpressen von Geld um.
Die Kampagne missbrauche das Vertrauen von Interessierten in Finanz-Tools und App-Stores. Sie zeige aber auch, welche fortschrittlichen Methoden Kriminelle zur Vermeidung der Erkennung und zum Anrichten von signifikantem Schaden verwendeten, erklären die IT-Forscher.
Die Malware-App war bis zum Wochenende wohl noch im Google-Play-Store verfügbar. Sie kam auf zwischen 50.000 und 100.000 Installationen innerhalb nur einer Woche, erörtert Cyfirma. In den Nutzerkommentaren fanden sich zahlreiche Beschwerden über die Erpressungsversuche und den Missbrauch persönlicher Informationen – einschließlich der Erstellung von falschen Nacktbildern, basierend auf Fotos von den Smartphones. Die Command-and-Control-Server laufen auf Amazons EC2-Cloudsystemen. Da das Admin-Panel Englisch und Chinesisch anbietet, schließt Cyfirma auf chinesisch-sprechende Angreifer. Interessierte finden sehr detaillierte Einblicke in das Vorgehen der Apps in der ausführlichen Cyfirma-Analyse.
Neben den apk-Namen und Herstellern im Play-Store liefert die Cyfirma-Analyse weitere Hinweise fĂĽr eine Infektion (Indicators of Compromise, IOCs). Darunter Domain-Namen von Command-and-Control-Servern oder Hashes der Malware-.apks. FĂĽr IT-Verantwortliche haben die Autoren auch gleich YARA-Regeln bereitgestellt.
Immer wieder schaffen es Kriminelle, Schadsoftware an den Sicherheitsmechanismen der App-Stores der Smartphone-Plattformen vorbeizuschmuggeln. Dagegen gehen die Plattformbetreiber immer wieder vor. Google hat im Jahr 2024 dabei knapp 2,4 Millionen Apps aus dem Play-Store geworfen.
(dmk)