Fußballfans aufgepasst: Gefälschte Apps zur Weltmeisterschaft im Umlauf

Originalartikel von Veo Zhang (Mobile Threat Analyst)

Kaum ist das Eröffnungsspiel der Fußballweltmeisterschaft in Brasilien vorbei, scheint schon rund um den Globus das Fußballfieber ausgebrochen zu sein. Leider wissen das auch die Cyberkriminellen zu nutzen.

Sie überfluten nicht nur das Netz mit Phishing-Angriffen und Hacktivisten bringen nicht nur zwei Internetauftritte der brasilianischen Behörden zum Erliegen (die Site der „Sao Paulo Military Police“ und die offizielle Website „World Cup 2014 Brazil“). Vielmehr nehmen sie auch die mobile Internetkommunikation ins Visier, und zwar mit Hilfe von gefälschten Apps. Bei unserer letzten Zählung kamen wir auf nicht weniger als 375 solcher Apps. Die Cyberkriminellen locken ihre Opfer auf Apps-Stores von Drittanbietern und verleiten sie dort dazu, die bösartigen Apps herunterzuladen und zu installieren. Die Analyse dieser Apps zeigt, dass es sich dabei in der Mehrzahl der Fälle um Varianten der vorherrschenden Schädlinge für mobile Endgeräte handelt.

App-Fälscherei

Eine dieser Schädlingsfamilien wird als ANDROIDOS_OPFAKE.CTD erkannt. Diese trat zum ersten Mal im Mai 2013 in Erscheinung, und zwar als gefälschte Versionen beliebter legitimer Apps. Zu ihren bösartigen Routinen gehören unter anderem das Abonnieren von teuren Premiumdiensten, das Stehlen von sensiblen Informationen (zum Beispiel Kontakte oder Nachrichten) oder das Installieren von bösartigen Links und Kurzlinks auf dem Startbildschirm des infizierten mobilen Geräts. Im Verlauf eines einzigen Jahres erreichte die Zahl der entdeckten Varianten von ANDROIDOS_OPFAKE.CTD die Marke von 100.000, die sich für 14.707 verschiedene legitime Apps ausgaben.

Ferner haben wir festgestellt, dass die Remote-Server, mit denen sich diese bösartigen Apps verbinden, 66 verschiedene Domänen nutzen, wobei jede dieser Domänen vortäuscht, eine berühmte legitime Website wie zum Beispiel MtGox.com zu sein.

  

Abbildungen 1 und 2: Beispiele für gefälschte Spieleapps zur Fußballweltmeisterschaft

Abbildung 3: Hinweis auf die Nutzung eines Premiumservices durch eine gefälschte Spieleapp

SMS-Filterung und -Diebstahl

Eine weitere von uns entdeckte Schädlingsfamilie, die gerade das Fußballfieber zur Weltmeisterschaft missbraucht, ist ANDROIDOS_SMSSTEALER.HBT. Die Varianten dieser Familie nutzen ähnliche Betrugs- und Fälschungsmethoden wie OPFAKE, jedoch mit einer Ausnahme: Sie können sich mit einem entfernten Befehls- und Kontrollserver (C&C-Server) verbinden, um von dort Befehle zu erhalten und diese anschließend auszuführen. Zu diesen Befehlen zählen unter anderem das Hinzufügen eines SMS-Filters (um bestimmte eingehende Nachrichten zu blocken oder zu verbergen), das Senden von SMS-Nachrichten oder das Installieren neuer Schadsoftware.

Abbildungen 4 und 5: Weitere Beispiele für gefälschte Spieleapps zur Fußballweltmeisterschaft

Im Zuge der Analyse der Befehls- und Kontrollserver entdeckten wir 76 Domänen, die alle auf den Namen „Tanasov Hennadiy“ registriert wurden. Die fraglichen Server wurden auch für das Hosting von inoffiziellen Websites für das Herunterladen von Apps verwendet. Dort wurden die meisten Apps mit Werbung oder Routinen zum Informationsdiebstahl „angereichert“.

Abbildung 6: Zur Registrierung der C&C-Server verwendeter Name inklusive Adresse

Abbildung 7: Liste der gehosteten bösartigen Apps und Dateien

Missbrauch von Premiumdiensten

Darüber hinaus gehört ein Trojaner zum Arsenal der Cyberkriminellen zur Fußballweltmeisterschaft, den wir in einem früheren Blogeintrag beschrieben haben. Eine neue Variante davon wird als ANDROIDOS_OPFAKE.HTG entdeckt. Dabei handelt es sich um eine typische Missbrauchs-App von Premiumdiensten. Die Opfer stellen irgendwann fest, dass sie exorbitant hohe Gebühren für diese Dienste, die sie selbst niemals bestellt haben, bezahlen müssen.

Abbildung 8: Gefälschte Spieleapp zur Fußballweltmeisterschaft/PSA

Schließlich sind wir auf eine bösartige Glücksspiel-App zur Fußballweltmeisterschaft gestoßen, die als ANDROIDOS_MASNU.HNT entdeckt wird. Ihre bösartigen Routinen umfassen unter anderem das Filtern von Nachrichten an den Anwender zur Bestätigung von Zahlungen. Dadurch bleiben die Gerätebesitzer im Unklaren über die tatsächliche Höhe der Kosten, die sie für die Nutzung des Glücksspiels bezahlen müssen, spielen daher immer weiter und geben Geld aus.

Abbildung 9: Bösartige Glücksspiel-App zur Fußballweltmeisterschaft

Auch einige Apps für Fußballwetten entwenden Informationen, ohne die Anwender davon in Kenntnis zu setzen, und weisen eklatante Sicherheitsrisiken in ihrem Mikrobezahlprozess auf. Wir empfehlen daher, sehr sorgsam mit den eigenen Finanz- und persönlichen Informationen umzugehen, wenn solche Spiele genutzt werden (oder sie überhaupt nicht zu nutzen).

Neben diesen Schädlingen haben wir auch eine erkleckliche Anzahl an Hochrisiko-Apps gefunden, die ebenfalls die Fußballweltmeisterschaft thematisieren. Die meisten davon, wenn nicht gar alle, zeigen die ein oder andere Routine zum Informationsdiebstahl und blenden unaufgefordert Werbungen für Apps und andere Dinge ein.

Natürlich kann man argumentieren, dass man sich heute mit cyberkriminellen Attacken rund um sportliche Großereignisse abfinden muss. Andererseits kann man sich nicht damit abfinden, ein Opfer dieser Attacken zu werden. Die Anwender sollten daher inoffizielle Download-Sites für Apps meiden und nichts von dort herunterladen. Außerdem sollten sie mobile Sicherheitslösungen nutzen (wie zum Beispiel Trend Micro Mobile Security), um ihre mobilen Endgeräte zu schützen.

Den Leserinnen und Lesern dieses Blogs sei versichert, dass wir die Bedrohungen im Zusammenhang mit der Fußballweltmeisterschaft 2014 kontinuierlich beobachten und neue Erkenntnisse darüber zeitnah veröffentlichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.