Malware nutzt Smishing oder SMS-Phishing
FakeSpy tarnt sich weltweit als App für Postdienstleistungen
FakeSpy ist ein sogenannter Information Stealer, der SMS-Nachrichten herausfiltert und versendet, Finanzinformationen und Anwendungsdaten stiehlt, Kontoinformationen und Kontaktlisten ausliest und vieles mehr
Von Ofir Almkias, Security Researcher. Mobile Analyst bei Cybereason
Cybereason hat in den letzten Wochen eine neue Version der Android-Malware FakeSpy untersucht. Sie wurde erstmals im Oktober 2017 entdeckt und dann im Oktober 2018 erneut gemeldet. Im Moment läuft eine aktuelle Kampagne mit einer deutlich verbesserten, wesentlich leistungsfähigeren Malware als es bei früheren Versionen der Fall war. FakeSpy wird aktiv weiterentwickelt und das in einem rasanten Tempo. Jede Woche veröffentlichen die Autoren neue Versionen, die über zusätzliche Verschleierungstechniken und Funktionen verfügen.
FakeSpy ist ein sogenannter Information Stealer, der SMS-Nachrichten herausfiltert und versendet, Finanzinformationen und Anwendungsdaten stiehlt, Kontoinformationen und Kontaktlisten ausliest und vieles mehr.
Die Malware nutzt Smishing oder SMS-Phishing, um den Zielcomputer zu infiltrieren, eine Technik, die sich auf Social Engineering stützt. Die Angreifer senden gefälschte Textnachrichten, um die Opfer zu verleiten auf einen bösartigen Link zu klicken. Der Link leitet die Nutzer zu einer schädlichen Webseite weiter, wo sie aufgefordert werden, ein Android Application Package (APK) herunterzuladen.
Diese jüngste FakeSpy-Kampagne scheint Postdienstleistungen auf der ganzen Welt ins Visier zu nehmen. Neue Versionen von FakeSpy tarnen sich als staatliche Post- und Transport-Apps. Die Analyse von Cybereason deutet darauf hin, dass sich die Bedrohungsakteure bei ihren Kampagnen nicht mehr allein auf ostasiatische Länder beschränken, sondern inzwischen weltweit agieren.
Zentrale Ergebnisse
● Das Nocturnus-Team von Cybereason untersucht eine neue FakeSpy-Kampagne, eine mobile Android-Malware, die erstmal im Oktober 2017 auftauchte. FakeSpy ist ein Information Stealer, der in der Lage ist, SMS-Nachrichten zu stehlen und zu versenden, finanzielle Informationen und Anwendungsdaten abzuziehen, Kontoinformationen und Kontaktlisten auszulesen und vieles mehr.
● FakeSpy hat zunächst südkoreanisch- und japanisch-sprachige Ziele angegriffen. Das hat sich inzwischen geändert, und die Schadsoftware richtet sich jetzt gegen Benutzer weltweit. Dabei konzentriert sie sich vornehmlich auf Postunternehmen in Ländern wie den Vereinigten Staaten, Großbritannien, Deutschland, Frankreich, China, Taiwan, der Schweiz und weiteren mehr.
● FakeSpy ist unter anderem deswegen interessant, weil die Malware bereits seit 2017 aktiv ist. Nun zeigt die neueste Kampagne, dass FakeSpy erheblich leistungsfähiger geworden ist! Verbesserungen an der Code-Basis, neue Funktionen, Anti-Emulationstechniken und eine neue globale Zielgruppe lassen darauf schließen, dass diese Malware von ihren Urhebern gut gepflegt wird.
● Cybereason vermutet, dass aufgrund der vielen bei der Analyse gefundenen Artefakte, chinesische Urheber für die Malware verantwortlich zeichnen. Die Namen der Malware-Pakete verwenden die englische Schreibweise chinesischer Namen mit Verweisen auf chinesische Lieder, chinesische Ernährung, chinesische Provinzen usw. Darüber hinaus sind die Domains, die für die Kommunikation mit dem Command-and-Control (C2)-Server verwendet werden, auf einen chinesischen Namen registriert, der wiederum einem chinesischen Internetdienstanbieter zugeordnet ist.
● Die aktuelle Untersuchung gibt einen detaillierten Einblick in die Art und Weise, wie genau die Malware-Autoren FakeSpy zu einer gut ausgestatteten Android-Malware gemacht haben. Durch Untersuchung winziger Details ist es Cybereason gelungen, zu zeigen, wie gefährlich diese Malware tatsächlich ist.
Schlussfolgerungen
FakeSpy ist erstmals im Oktober 2017 in Erscheinung getreten und zielte bis vor kurzem hauptsächlich auf ostasiatische Länder ab. Die Untersuchung zeigt neueste Entwicklungen des Malware-Codes und der Funktionsmerkmale sowie eine Ausweitung auf europäische und nordamerikanische Regionen.
Die Malware richtet sich gegen Länder weltweit und tarnt sich als offizielle App von Post- und Transportdiensten. Diese Apps erscheinen aufgrund des verwendeten App-Logos, des Erscheinungsbildes der Benutzeroberfläche und der Umleitung auf die Webseite des Betreibers als legitim – was den Endbenutzer dazu verleitet, die App für das Original zu halten.
Viele Artefakte deuten nach Ansicht der Analysten darauf hin, dass die Bedrohungsakteure in China beheimatet sein könnten. Die für die C2-Kommunikation verwendeten Domänen sind auf einen chinesischen Namen registriert, der zu einem chinesischen Online-Anbieter gehört. Darüber hinaus sind die Namen der Malware-Pakete in anglisiertem Chinesisch geschrieben und beziehen sich auf chinesische Lieder, Ernährung, Provinzen usw.
Die Malware-Autoren investieren ganz offensichtlich einiges an Aufwand in die Weiterentwicklung der Malware und bündeln sie mit zahlreichen Upgrades. Diese erweitern die Funktionspalette insgesamt und verbessern die Verschleierungstaktiken der Malware, um möglichst lange unentdeckt zu bleiben. Die Verbesserungen machen FakeSpy zu einem der derzeit leistungsstärksten Information Stealer auf dem Markt. Cybereason geht davon aus, dass sich diese Malware mit zusätzlichen neuen Funktionen weiter entwickeln wird. Die nächste Welle kommt, so viel ist sicher. Offen ist lediglich, wann. (Cybereason: ra)
eingetragen: 05.07.20
Newsletterlauf: 30.09.20
Cybereason: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.