Microsoft hat die sich entwickelnden Fähigkeiten von Mautbetrugs-Malware-Apps auf Android detailliert beschrieben und auf ihren „komplexen mehrstufigen Angriffsablauf“ und einen verbesserten Mechanismus zur Umgehung von Sicherheitsanalysen hingewiesen.
Mautbetrug gehört zu einer Kategorie des Abrechnungsbetrugs, bei dem bösartige mobile Anwendungen mit versteckten Abonnementgebühren einhergehen und ahnungslose Nutzer/innen ohne ihr Wissen oder ihre Zustimmung zu Premium-Inhalten verleiten.
Er unterscheidet sich von anderen Fleeceware-Bedrohungen auch dadurch, dass die bösartigen Funktionen nur ausgeführt werden, wenn ein kompromittiertes Gerät mit einem der Zielnetzbetreiber verbunden ist.
„Außerdem nutzt er standardmäßig eine Mobilfunkverbindung für seine Aktivitäten und zwingt Geräte dazu, sich mit dem mobilen Netzwerk zu verbinden, auch wenn eine Wi-Fi-Verbindung verfügbar ist“, so Dimitrios Valsamaras und Sang Shin Jung vom Microsoft 365 Defender Research Team in einer ausführlichen Analyse.
„Sobald die Verbindung zu einem Zielnetzwerk bestätigt ist, initiiert er heimlich ein betrügerisches Abonnement und bestätigt es ohne die Zustimmung des Nutzers, wobei er in einigen Fällen sogar das Einmalpasswort (OTP) abfängt, um dies zu tun.
Solche Apps sind auch dafür bekannt, dass sie SMS-Benachrichtigungen im Zusammenhang mit dem Abonnement unterdrücken, um zu verhindern, dass die Opfer von der betrügerischen Transaktion erfahren und sich von dem Dienst abmelden.
Im Kern nutzt der Mautbetrug die Zahlungsmethode aus, die es den Verbrauchern ermöglicht, kostenpflichtige Dienste von Websites zu abonnieren, die das Wireless Application Protocol (WAP) unterstützen. Die Abonnementgebühr wird direkt von der Handyrechnung abgebucht, so dass die Einrichtung einer Kredit- oder Debitkarte oder die Eingabe eines Benutzernamens und Passworts überflüssig ist.
„Wenn sich der Nutzer über mobile Daten mit dem Internet verbindet, kann der Mobilfunkbetreiber ihn anhand der IP-Adresse identifizieren“, so Kaspersky in einem Bericht von 2017 über WAP-Billing-Trojaner. „Die Mobilfunkbetreiber stellen den Nutzern nur dann Geld in Rechnung, wenn sie erfolgreich identifiziert wurden.“
Optional können einige Anbieter auch OTPs als zweite Ebene der Bestätigung des Abonnements vor der Aktivierung des Dienstes verlangen.
„Beim Mautbetrug führt die Schadsoftware die Anmeldung im Namen des Nutzers so durch, dass der gesamte Vorgang nicht wahrnehmbar ist“, so die Forscher. „Die Malware kommuniziert mit einem [Command-and-Control]-Server, um eine Liste der angebotenen Dienste abzurufen.
Sie erreicht dies, indem sie zunächst das WLAN ausschaltet und die mobilen Daten aktiviert. Anschließend nutzt sie JavaScript, um den Dienst heimlich zu abonnieren und den OTP-Code (falls zutreffend) abzufangen und zu senden, um den Vorgang abzuschließen.
Der JavaScript-Code wiederum ist so konzipiert, dass er auf HTML-Elemente klickt, die Schlüsselwörter wie „Bestätigen“, „Klicken“ und „Fortfahren“ enthalten, um die Anmeldung programmatisch einzuleiten.
Nach einem erfolgreichen betrügerischen Abonnement verbirgt die Malware entweder die Benachrichtigungen über das Abonnement oder missbraucht ihre SMS-Berechtigungen, um eingehende Textnachrichten mit Informationen über den abonnierten Dienst des Mobilfunkbetreibers zu löschen.
Mautbetrugs-Malware ist auch dafür bekannt, dass sie ihr bösartiges Verhalten mit Hilfe des dynamischen Codeladens verschleiert, einer Funktion in Android, die es Apps ermöglicht, während der Laufzeit zusätzliche Module von einem entfernten Server zu beziehen.
Aus Sicherheitssicht bedeutet dies auch, dass ein Malware-Autor eine App so gestalten kann, dass die betrügerischen Funktionen nur geladen werden, wenn bestimmte Voraussetzungen erfüllt sind, und so die statische Codeanalyse umgehen kann.
„Wenn eine App das Laden von dynamischem Code erlaubt und der dynamisch geladene Code Textnachrichten extrahiert, wird sie als Backdoor-Malware eingestuft“, erklärt Google in seiner Entwicklerdokumentation über potenziell schädliche Anwendungen (PHAs).
Mit einer Installationsrate von 0,022 % machten Mautbetrugs-Apps 34,8 % aller PHAs aus, die im ersten Quartal 2022 auf dem Android-App-Marktplatz installiert wurden, und lagen damit an zweiter Stelle hinter Spyware. Die meisten Installationen stammten aus Indien, Russland, Mexiko, Indonesien und der Türkei.
Um die Bedrohung durch Mautbetrugs-Malware zu verringern, wird empfohlen, nur Anwendungen aus dem Google Play Store oder anderen vertrauenswürdigen Quellen zu installieren, keine übermäßigen Berechtigungen für Apps zu erteilen und ein Upgrade auf ein neues Gerät in Betracht zu ziehen, falls es keine Software-Updates mehr erhält.