Mobile Malware

Check Point meldet neuartige Malware, die Android-Nutzer bedroht

, San Carlos, Check Point | Autor: Herbert Wieler

Check Point meldet neuartige Malware, die Android-Nutzer bedroht

Android-Smartphones werden unfreiwillig für kostenpflichtige Abonnements angemeldet

Die Security-Experten von Check Point Research, die Forschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, hat eine neue Malware-Kampagne aufgedeckt. Dabei handelt es sich um eine in ihrer Struktur völlig unbekannte Malware, die multi-funktional angelegt wurde.

Kern der neuen Kampagne, die zuerst in Thailand und Malaysien aufgetaucht war, ist der neue Schädling namens WAPDropper. Dabei handelt es sich um Schadsoftware, die nach der erfolgreichen Infektion eines Smartphones weitere Malware auf das Gerät herunterladen kann und selbstständig – ohne Wissen des Nutzers – installiert. Im nächsten Schritt meldet WAPDropper den Nutzer dann heimlich für kostenpflichte und echte Premium-Dienste an, bislang vor allem von Telekommunikations-Anbietern. Unklar ist bisher, ob die Betrüger und die Anbieter der Dienste zusammenarbeiten, oder ob es sich sogar um ein und dieselbe Gruppe handelt.

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO – Check Point Software Technologies GmbH , warnt vor der neuen Malware: „Der WAPDropper ist multi-funktional. Im Moment liegt der Fokus auf den Premium-Dialer-Betrügereien, in Zukunft könnte aber auch die enthaltene Payload verändert werden, so dass sie alles installiert, was der Angreifer möchte. Diese Art Schadsoftware ist ein starker Trend bei der Infektion von Mobiltelefonen, den wir im Jahr 2020 beobachten konnten. Dropper-Trojaner stellten mit kombinierten Infektionen in einer Größenordnung von mehreren hundert Millionen weltweit fast die Hälfte aller mobilen Malware-Angriffe zwischen Januar und Juli dar. Ich gehe davon aus, dass sich diese Mode noch mindestens bis zum Jahreswechsel hält und empfehle Android-Nutzern dringend, nur Apps aus offiziellen Quellen herunterzuladen.“


Darstellung einer Infektion durch WAPDropper

Die Angriffe laufen jedenfall stets nach dem gleichen Muster ab: Zunächst wird eine infizierte Anwendung aus einer inoffiziellen Quelle heruntergeladen. Nach der Installation kontaktiert der WAPDropper seinen Command & Control-Server und lädt die Module für einen kostenpflichtigen Service herunter. Bei diesem wird der Nutzer registriert, wobei die Sicherheits-Funktion Captcha nichts nutzt – der WAPDropper greift hierbei nämlich auf den chinesischen Dienst Super Eagel zurück, der maschinelles Lernen zur Bilderkennung nützt und somit in der Lage ist, die jeweilige Authentifizierungsmethode auszuhebeln.