Er is waargenomen dat kwaadaardige Android-apps die zich voordoen als Google, Instagram, Snapchat, WhatsApp en X (voorheen Twitter) de inloggegevens van gebruikers stelen van besmette apparaten.
“Deze malware maakt gebruik van beroemde Android-app-pictogrammen om gebruikers te misleiden en slachtoffers te misleiden om de kwaadaardige app op hun apparaten te installeren”, aldus het dreigingsonderzoeksteam van SonicWall Capture Labs in een recent rapport.
De distributievector voor de campagne is momenteel onduidelijk. Zodra de app echter op de telefoons van de gebruikers is geïnstalleerd, wordt hen gevraagd toestemming te verlenen voor de toegankelijkheidsservices en de apparaatbeheerder-API, een nu verouderde functie die functies voor apparaatbeheer op systeemniveau biedt.
Door deze toestemmingen te verkrijgen, kan de frauduleuze app controle krijgen over het apparaat, waardoor het mogelijk wordt willekeurige acties uit te voeren, variërend van gegevensdiefstal tot het inzetten van malware zonder medeweten van de slachtoffers.
De malware is ontworpen om verbindingen tot stand te brengen met een command-and-control (C2)-server om opdrachten te ontvangen voor uitvoering, waardoor deze toegang krijgt tot contactlijsten, sms-berichten, oproeplogboeken en de lijst met geïnstalleerde apps; sms-berichten verzenden; open phishing-pagina's in de webbrowser en schakel de zaklamp van de camera in.
De phishing-URL’s bootsen de inlogpagina’s na van bekende diensten zoals Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress en Yahoo.
De ontwikkeling komt nadat Symantec, eigendom van Broadcom, waarschuwde voor een social engineering-campagne die WhatsApp gebruikt als een leveringsvector om nieuwe Android-malware te verspreiden door zich voor te doen als een defensiegerelateerde applicatie.
“Bij succesvolle oplevering zou de applicatie zichzelf installeren onder het mom van een Contacts-applicatie”, aldus Symantec. “Bij uitvoering vroeg de app toestemming voor sms, contacten, opslag en telefoon en werd zichzelf vervolgens uit het zicht verwijderd.”
Het volgt ook op de ontdekking van malwarecampagnes die Android-banktrojans zoals Coper verspreiden, die in staat zijn gevoelige informatie te verzamelen en valse vensteroverlays weer te geven, waardoor gebruikers worden misleid zodat ze onbewust hun inloggegevens opgeven.
Vorige week onthulde het Finse Nationale Cyber Security Centrum (NCSC-FI) dat smishing-berichten worden gebruikt om gebruikers naar Android-malware te leiden die bankgegevens steelt.
De aanvalsketen maakt gebruik van een techniek die telefonische aanvalsaflevering (TOAD) wordt genoemd, waarbij de sms-berichten de ontvangers aansporen een nummer te bellen in verband met een incassovordering.
Zodra het telefoontje is gepleegd, informeert de oplichter aan de andere kant het slachtoffer dat het bericht frauduleus is en dat hij ter bescherming een antivirus-app op zijn telefoon moet installeren.
Ze instrueren de beller ook om op een link te klikken die in een tweede sms-bericht is verzonden om de vermeende beveiligingssoftware te installeren, maar in werkelijkheid is het malware die is ontworpen om de inloggegevens van online bankrekeningen te stelen en uiteindelijk ongeautoriseerde geldoverboekingen uit te voeren.
Hoewel de exacte Android-malware die bij de aanval werd gebruikt niet door NCSC-FI werd geïdentificeerd, wordt vermoed dat het Vultr is, die begin vorige maand door NCC Group werd beschreven als een vrijwel identiek proces om apparaten te infiltreren.
Android-gebaseerde malware zoals Tambir en Dwphon zijn de afgelopen maanden ook in het wild gedetecteerd met verschillende functies voor het verzamelen van apparaten, waarbij de laatste zich richt op mobiele telefoons van Chinese handsetfabrikanten en voornamelijk bedoeld is voor de Russische markt.
“Dwphon wordt geleverd als onderdeel van de systeemupdate-applicatie en vertoont veel kenmerken van vooraf geïnstalleerde Android-malware”, aldus Kaspersky.
“Het exacte infectiepad is onduidelijk, maar er wordt aangenomen dat de geïnfecteerde applicatie in de firmware is opgenomen als gevolg van een mogelijke supply chain-aanval.”
Telemetriegegevens die door het Russische cyberbeveiligingsbedrijf zijn geanalyseerd, laten zien dat het aantal Android-gebruikers dat wordt aangevallen door bankmalware met 32% is gestegen in vergelijking met het voorgaande jaar, van 57.219 naar 75.521. Het merendeel van de infecties is gemeld in Turkije, Saoedi-Arabië, Spanje, Zwitserland en India.
“Hoewel het aantal gebruikers dat wordt getroffen door malware voor pc-banking blijft afnemen, (…) zag het jaar 2023 het aantal gebruikers dat te maken kreeg met Trojaanse paarden voor mobiel bankieren aanzienlijk toenemen”, aldus Kaspersky.
