Eine bisher nicht dokumentierte Android-Malware-Kampagne wurde beobachtet, die Geldverleih-Apps ausnutzt, um die Opfer zu erpressen, damit sie mit persönlichen Informationen, die von ihren Geräten gestohlen wurden, bezahlen.
Das mobile Sicherheitsunternehmen Zimperium nannte die Aktivität MoneyMonger und wies darauf hin, dass für die Entwicklung der Apps das plattformübergreifende Flutter-Framework verwendet wurde.
MoneyMonger „nutzt das Flutter-Framework, um bösartige Funktionen zu verschleiern und die Erkennung bösartiger Aktivitäten durch statische Analysen zu erschweren“, so die Zimperium-Forscher Fernando Sanchez, Alex Calleja, Matteo Favaro und Gianluca Braga in einem Bericht an The Hacker News.
„Aufgrund der Beschaffenheit von Flutter verstecken sich der bösartige Code und die bösartigen Aktivitäten nun hinter einem Framework, das sich den statischen Analysefähigkeiten herkömmlicher mobiler Sicherheitsprodukte entzieht.
Die Kampagne, von der angenommen wird, dass sie seit Mai 2022 aktiv ist, ist Teil einer größeren Aktion, die zuvor von der indischen Cybersicherheitsfirma K7 Security Labs aufgedeckt wurde.
Keine der 33 Apps, die für die Betrugsmasche verwendet wurden, wurde über den Google Play Store vertrieben. Die Geldverleih-Anwendungen sind stattdessen über inoffizielle App-Stores erhältlich oder werden über Smishing, kompromittierte Websites, betrügerische Werbung oder Social-Media-Kampagnen auf die Telefone geladen.
Sobald die Malware installiert ist, stellt sie ein Risiko dar, denn sie ist so konzipiert, dass sie die Nutzer/innen unter dem Vorwand, einen Kredit zu garantieren, dazu auffordert, ihr aufdringliche Berechtigungen zu erteilen und eine Vielzahl privater Informationen abzufangen.
Die gesammelten Daten – darunter GPS-Standorte, SMS, Kontakte, Anrufprotokolle, Dateien, Fotos und Audioaufnahmen – werden dann als Druckmittel eingesetzt, um die Opfer zu zwingen, übermäßig hohe Zinsen für die Kredite zu zahlen, manchmal sogar noch nach der Rückzahlung des Kredits.
Um die Sache noch schlimmer zu machen, setzen die Bedrohungsakteure die Kreditnehmer/innen Belästigungen aus, indem sie damit drohen, ihre Daten preiszugeben, Personen aus der Kontaktliste anzurufen und beleidigende Nachrichten und veränderte Fotos von den infizierten Geräten zu verschicken.
Das Ausmaß der Kampagne ist aufgrund der Verwendung von Sideloading und App-Stores von Drittanbietern unklar, aber es wird geschätzt, dass die betrügerischen Apps über 100.000 Downloads über den Verbreitungsvektor erreicht haben.
„Die extrem neuartige MoneyMonger-Malware-Kampagne verdeutlicht den wachsenden Trend, dass böswillige Akteure Erpressung und Drohungen einsetzen, um ihre Opfer um Geld zu bringen“, so Richard Melick, Director of Mobile Threat Intelligence bei Zimperium, in einer Stellungnahme.
„Schnellkreditprogramme sind oft voll von räuberischen Modellen, wie z. B. hohen Zinssätzen und Rückzahlungsmodellen, aber wenn man Erpressung in die Gleichung einbezieht, erhöht sich der Grad der Bösartigkeit.
Die Ergebnisse kommen zwei Wochen nachdem Lookout fast 300 mobile Kreditanwendungen auf Google Play und im App Store von Apple entdeckt hat, die zusammen mehr als 15 Millionen Downloads haben und bei denen räuberisches Verhalten festgestellt wurde.
Diese Apps exfiltrieren nicht nur außerordentliche Mengen an Nutzerdaten, sondern sind auch mit versteckten Gebühren, hohen Zinssätzen und Zahlungsbedingungen ausgestattet, mit denen die Opfer zur Zahlung betrügerischer Kredite gezwungen werden.
„Sie nutzen den Wunsch der Opfer nach schnellem Geld aus, um die Kreditnehmer in räuberische Kreditverträge zu verwickeln und verlangen von ihnen, dass sie Zugang zu sensiblen Informationen wie Kontakten und SMS-Nachrichten gewähren“, stellte Lookout Ende letzten Monats fest.
Entwicklungsländer sind ein Hauptziel für zwielichtige Kredit-Apps, da die digitale Kreditvergabe in Märkten wie Indien explosionsartig zugenommen hat, wo sich Menschen unwissentlich an solche Plattformen wenden, nachdem sie von Banken abgewiesen wurden, weil sie die Einkommensanforderungen nicht erfüllen konnten.
Die ausbeuterischen Bedingungen für Privatkredite haben auch zu zahlreichen Selbstmorden in Indien geführt, was die indische Regierung dazu veranlasst hat, eine Liste mit legalen digitalen Kredit-Apps zu erstellen, die in den App-Stores zugelassen sind.
Im August gab Google bekannt, dass es seit Anfang des Jahres mehr als 2.000 Kreditvergabe-Apps aus dem indischen Play Store entfernt hat, weil sie gegen die Nutzungsbedingungen verstoßen.
Die Regierung hat auch ein striktes Vorgehen der Strafverfolgungsbehörden gegen Kredit-Apps gefordert, von denen die meisten unter chinesischer Kontrolle stehen und die nachweislich Schikanen, Erpressung und harte Rückforderungstechniken anwenden.