Der Trojaner Harly zockt seinen Opfern Geld ab, indem er im Hintergrund kostenpflichtige Dienste abonniert. Kaspersky hat ihn in mehr als 190 Apps im Google Play Store entdeckt, die zusammen auf über 4,8 Millionen Downloads kommen.
Die Drahtzieher hinter der Malware haben dafür reguläre Apps heruntergeladen, um eigenen Schadcode ergänzt und unter anderem Namen in den Google Play Store wieder hochgeladen, erläutert Kaspersky in einer Analyse. Durch das Imitieren legitimer Apps versuchen sie, arglose Opfer zu finden. Zudem stellen die Apps zur Tarnung dadurch auch die beworbenen Funktionen bereit.
Die konkrete Schadfunktion des näher betrachteten Trojaners entfaltet sich insbesondere bei Nutzern in Thailand. Ist das Smartphone bei einem dortigen Netzbetreiber eingebucht, kontaktiert sie Command-and-Control-Server, um eine Liste zu abonnierender kostenpflichtiger Dienste zu empfangen. Die Malware kann dazu unbemerkt im Hintergrund Bestätigungs-SMS abfangen und auf entsprechende Knöpfe auf den Subscribe-Webseiten durch injiziertes JavaScript klicken sowie Formularfelder befüllen. Als Besonderheit kann der Schädling zudem nicht nur Bestätigungs-SMS verarbeiten, sondern auch Anrufe zu Telefonnummern zur Bestätigung aufbauen.
Kaspersky hat einige Hinweise gefunden, dass die Drahtzieher hinter der Malware aus China stammen. So prüft der Trojaner den aktuell genutzten Telefonieanbieter mittels Mobile Network Codes. Neben dem Test auf thailändische Anbieter prüft er auch auf China Telecom.
Als Schutzmaßnahme empfehlen die Antivirenexperten, auch auf die Bewertungen von Apps vor deren Installation zu achten. Zwar könnten die mit Fälschungen geflutet sein, aber es fanden sich in den konkreten Beispielen zum Harly-Trojaner stets Hinweise, dass dort eine Malware am Werk ist. Das Unternehmen hat dem eigenen Bekunden nach Google kontaktiert, sodass die trojanisierten Apps nicht mehr verfügbar und von betroffenen Smartphones automatisch entfernt worden sein sollten.
Quelle: heise
Die Drahtzieher hinter der Malware haben dafür reguläre Apps heruntergeladen, um eigenen Schadcode ergänzt und unter anderem Namen in den Google Play Store wieder hochgeladen, erläutert Kaspersky in einer Analyse. Durch das Imitieren legitimer Apps versuchen sie, arglose Opfer zu finden. Zudem stellen die Apps zur Tarnung dadurch auch die beworbenen Funktionen bereit.
Nicht sonderlich fortschrittlich
In einem untersuchten Sample haben Kasperskys Antivirenexperten eine sonst unter anderem Namen verfügbare Anwendung gefunden, die die Angreifer um Go- und Rust-Code ergänzt haben. Dieser Code entschlüsselt und startet den eigentlichen SDK-Schadcode. Anders als bei fortschrittlicheren Trojanern enthält die App bereits den vollständigen Malware-Programmcode und lädt ihn nicht in mehreren Stufen erst herunter und entschlüsselt ihn dann.Die konkrete Schadfunktion des näher betrachteten Trojaners entfaltet sich insbesondere bei Nutzern in Thailand. Ist das Smartphone bei einem dortigen Netzbetreiber eingebucht, kontaktiert sie Command-and-Control-Server, um eine Liste zu abonnierender kostenpflichtiger Dienste zu empfangen. Die Malware kann dazu unbemerkt im Hintergrund Bestätigungs-SMS abfangen und auf entsprechende Knöpfe auf den Subscribe-Webseiten durch injiziertes JavaScript klicken sowie Formularfelder befüllen. Als Besonderheit kann der Schädling zudem nicht nur Bestätigungs-SMS verarbeiten, sondern auch Anrufe zu Telefonnummern zur Bestätigung aufbauen.
Kaspersky hat einige Hinweise gefunden, dass die Drahtzieher hinter der Malware aus China stammen. So prüft der Trojaner den aktuell genutzten Telefonieanbieter mittels Mobile Network Codes. Neben dem Test auf thailändische Anbieter prüft er auch auf China Telecom.
Als Schutzmaßnahme empfehlen die Antivirenexperten, auch auf die Bewertungen von Apps vor deren Installation zu achten. Zwar könnten die mit Fälschungen geflutet sein, aber es fanden sich in den konkreten Beispielen zum Harly-Trojaner stets Hinweise, dass dort eine Malware am Werk ist. Das Unternehmen hat dem eigenen Bekunden nach Google kontaktiert, sodass die trojanisierten Apps nicht mehr verfügbar und von betroffenen Smartphones automatisch entfernt worden sein sollten.
Quelle: heise