Bedrohungsakteure haben seit mindestens November 2021 unter dem Deckmantel scheinbar harmloser Shopping-Apps bösartige Anwendungen verteilt, um Kunden von acht malaysischen Banken anzusprechen.
Bei den Angriffen wurden betrügerische, aber legitim aussehende Websites eingerichtet, um die Nutzer zum Herunterladen der Apps zu verleiten, so das slowakische Cybersecurity-Unternehmen ESET in einem Bericht, der The Hacker News vorliegt.
Die gefälschten Websites gaben sich als Reinigungsdienste wie Maid4u, Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy und MaidACall sowie als eine Tierhandlung namens PetsMore aus, die sich alle an Nutzer in Malaysia richten.
„Die Angreifer nutzen diese gefälschten E-Shop-Anwendungen, um Bankdaten zu ergaunern“, so ESET. „Die Apps leiten auch alle SMS-Nachrichten, die das Opfer erhält, an die Malware-Betreiber weiter, falls sie von der Bank gesendete 2FA-Codes enthalten.“
Zu den betroffenen Banken gehören Maybank, Affin Bank, Public Bank Berhad, CIMB Bank, BSN, RHB, Bank Islam Malaysia und Hong Leong Bank.
Die Websites, die über Facebook-Anzeigen verbreitet werden, fordern die Besucher/innen dazu auf, Android-Apps herunterzuladen, die angeblich im Google Play Store erhältlich sind, leiten sie aber in Wirklichkeit auf betrügerische Server unter ihrer Kontrolle um.
Damit der Angriff erfolgreich ist, müssen die potenziellen Opfer die nicht standardmäßige Option „Unbekannte Apps installieren“ auf ihren Geräten aktivieren. Außerdem haben fünf der missbrauchten Dienste nicht einmal eine App auf Google Play.
Sobald die Apps gestartet sind, fordern sie die Nutzer/innen auf, sich bei ihren Konten anzumelden und gefälschte Bestellungen aufzugeben, woraufhin Optionen zum Abschließen des Bestellvorgangs mit einer Überweisung von ihrem Bankkonto angeboten werden.
„Nach der Auswahl der Direktüberweisungsoption wird den Opfern eine gefälschte FPX-Zahlungsseite angezeigt, auf der sie aufgefordert werden, ihre Bank aus den acht angebotenen malaysischen Banken auszuwählen und ihre Zugangsdaten einzugeben“, so ESET Malware-Forscher Lukáš Štefanko.
Das ultimative Ziel der Kampagne ist es, die von den Nutzern eingegebenen Bankdaten zu stehlen und sie an den von den Angreifern kontrollierten Server zu übermitteln, während gleichzeitig eine Fehlermeldung angezeigt wird, dass die eingegebene Benutzer-ID oder das Passwort ungültig ist.
Außerdem sind die gefälschten Apps so konzipiert, dass sie auf alle von den Nutzern empfangenen SMS-Nachrichten zugreifen und diese an den entfernten Server weiterleiten, falls die Bankkonten durch eine Zwei-Faktor-Authentifizierung gesichert sind.
„Die Kampagne zielt zunächst ausschließlich auf Malaysia ab, könnte sich aber später auf andere Länder und Banken ausweiten“, so Štefanko. „Im Moment haben es die Angreifer auf Bankdaten abgesehen, aber in Zukunft könnten sie auch Kreditkartendaten stehlen.