Experten des europäischen IT-Sicherheitsherstellers ESET haben eine noch immer andauernde Cybercrime-Kampagne entdeckt und analysiert. Ahnungslose Online-Shopper sollen zum Download einer schädlichen App verleitet werden. Gelangen diese Anwendungen auf das Smartphone, stehlen die Hacker Bankdaten, indem sie gefälschte Webseiten verwenden, die sich als legitime Dienste ausgeben. Diese Seiten verwenden ähnliche Domänennamen wie die Dienste, für die sie sich ausgeben. Ihre Analyse haben die Sicherheitsforscher nun auf WeLiveSecurity veröffentlicht.
„Um den ohnehin schon bequemen Online-Einkauf noch komfortabler zu gestalten, nutzen die Menschen zunehmend ihre Smartphones zum Einkaufen. Diese Einkäufe machen mittlerweile den Großteil der Online-Shopping-Bestellungen aus - die meisten davon über anbieterspezifische Anwendungen“, sagt ESET-Forscher Lukáš Štefanko, der die Schad-Apps analysiert hat. „Die Kampagne zielt im Moment ausschließlich auf Malaysia ab, könnte sich aber später auf andere Länder und Banken ausweiten. Derzeit haben es die Angreifer nur auf Bankdaten abgesehen. In Zukunft könnte aber auch der Diebstahl von Kreditkarteninformationen hinzukommen.“
Cybercrime-Kampagne dauert an
Diese Kampagne wurde erstmals Ende 2021 gemeldet, wobei sich die Angreifer als ein seriöser Reinigungsdienst ausgaben. Die Kampagne wurde über Facebook-Anzeigen verbreitet und verleitete potenzielle Opfer dazu, Android-Malware von einer bösartigen Website herunterzuladen. Im Januar 2022 identifizierte das Malware-Hunter-Team drei weitere bösartige Internetseiten und Android-Trojaner, die dieser Kampagne zugeschrieben werden. Vor kurzem fanden ESET-Forscher vier weitere gefälschte Webseiten. Alle sieben Seiten gaben sich als Dienste aus, die nur in Malaysia verfügbar sind. Die ESET Forscher haben in allen drei untersuchten Schad-Apps dieselbe Malware gefunden.
Die gefälschten Webseiten bieten keine Möglichkeit, direkt über sie einzukaufen. Stattdessen enthalten sie Schaltflächen, die vorgeben, Apps von Google Play herunterzuladen. Das Anklicken dieser Schaltflächen führt jedoch nicht zum Google Play Store, sondern zu Servern, die von den Kriminellen kontrolliert werden. Damit dieser Angriff erfolgreich ist, müssen die Opfer die nicht standardmäßig aktivierte Option „Unbekannte Herkunft“ oder „Unbekannte Quellen“ auf ihren Geräten einschalten. Beim Abschluss des Kaufs werden den Opfern Zahlungsoptionen angeboten - sie können entweder per Kreditkarte oder durch Überweisung des erforderlichen Betrags von ihrem Bankkonto bezahlen. Zu dem Zeitpunkt, als diese Untersuchung durchgeführt wurde, war es nicht möglich, die Zahlungsoption Kreditkarte auszuwählen.
Zwei-Faktor-Authentifizierung wird teilweise umgangen
Nach Auswahl der Direktüberweisungsoption wird den Opfern eine gefälschte Zahlungsseite angezeigt, auf der sie aufgefordert werden, ihre Bank aus den acht angebotenen malaysischen Banken auszuwählen und dann ihre Anmeldedaten einzugeben. Nach Eingabe ihrer Bankdaten erhalten die Opfer eine Fehlermeldung, die sie darüber informiert, dass die angegebene Benutzer-ID oder das Passwort ungültig sind. Zu diesem Zeitpunkt sind die eingegebenen Zugangsdaten bereits an die Malware-Betreiber gesendet worden. Um sicherzustellen, dass die Kriminellen in die Bankkonten ihrer Opfer eindringen können, leiten die Fake-Shop-Anwendungen auch alle SMS-Nachrichten, die das Opfer erhält, an die Betreiber weiter, falls sie von der Bank gesendete Codes für die Zwei-Faktor-Authentifizierung (2FA) enthalten.
Der Artikel ist auf WeLiveSecurity verfügbar: https://www.welivesecurity.com/deutsch/2022/04/06/falsche-e-shops-jagen-mit-android-malware-nach-bankdaten/
Tipps zum Schutz beim Online-Shopping
- Überprüfen Sie, ob die Website sicher ist, das heißt ob ihre URL mit https:// beginnt. Einige Browser weigern sich sogar, Websites zu öffnen, die nicht über HTTPS gesichert sind, und warnen die Benutzer ausdrücklich oder bieten eine Option zur Aktivierung des HTTPS-Modus an.
- Seien Sie vorsichtig, wenn Sie auf Werbung und bezahlte Suchmaschinenergebnisse klicken.
- Achten Sie auf die Quelle der Anwendungen, die Sie herunterladen. Vergewissern Sie sich, dass Sie tatsächlich auf den Google Play Store weitergeleitet werden. Apps sollten immer nur aus vertrauenswürdigen Quellen heruntergeladen werden.
- Zwei-Faktor-Authentifizierung ist grundsätzlich eine empfehlenswerte Schutzfunktion. Verzichten Sie aber, soweit möglich, auf SMS zur Verifizierung und nutzen Sie spezielle Authentifizierungs-Apps oder -Hardware.
- Installieren Sie auch auf Smartphone und Tablet eine mobile Sicherheitslösung. Die App sollte einen umfassenden Schutz gegen alle Arten von Cyber-Angriffen bieten. Empfehlenswert sind Anwendungen, die auch Schutz gegen Phishing bieten und im Verlustfall eine Anti-Theft-Funktion enthalten.