Die Sicherheitsforscher von Check Point sind einer ungewöhnlichen Malware auf der Spur, die Nutzer von Android-Smartphones unfreiwillig für kostenpflichtige Abonnements anmeldet. Bei dieser neuen Malware-Kampagne handelt es sich um eine in ihrer Struktur völlig unbekannte Malware, die multi-funktional angelegt wurde. Kern der neuen Kampagne ist der neue Schädling namens WAPDropper.
Dabei handelt es sich um Schad-Software, die nach der erfolgreichen Infektion eines Smartphones weitere Malware auf das Gerät herunterladen kann und selbstständig – ohne Wissen des Nutzers – installiert. Im nächsten Schritt meldet WAPDropper den Nutzer dann heimlich für kostenpflichte und echte Premium-Dienste an, bislang vor allem von Telekommunikations-Anbietern.
Unklar ist bisher, ob die Betrüger und die Anbieter der Dienste zusammenarbeiten, oder ob es sich sogar um ein und dieselbe Gruppe handelt.
Die Angriffe laufen jedenfall stets nach dem gleichen Muster ab: Zunächst wird eine infizierte Anwendung aus einer inoffiziellen Quelle heruntergeladen. Nach der Installation kontaktiert der WAPDropper seinen Command & Control-Server und lädt die Module für einen kostenpflichtigen Service herunter.
Bei diesem wird der Nutzer registriert, wobei die Sicherheits-Funktion Captcha nichts nutzt – der WAPDropper greift hierbei nämlich auf den chinesischen Dienst Super Eagel zurück, der maschinelles Lernen zur Bilderkennung nützt und somit in der Lage ist, die jeweilige Autenthifizierungsmethode auszuhebeln.
Christine Schönig, Regional Director Security Engineering bei Check Point warnt: „Der WAPDropper ist multi-funktional. Im Moment liegt der Fokus auf den Premium-Dialer-Betrügereien, in Zukunft könnte aber auch die enthaltene Payload verändert werden, so dass sie alles installiert, was der Angreifer möchte. Diese Art Schadsoftware ist ein starker Trend bei der Infektion von Mobiltelefonen, den wir im Jahr 2020 beobachten konnte.“
„Dropper-Trojaner stellten mit kombinierten Infektionen in einer Größenordnung von mehreren hundert Millionen weltweit fast die Hälfte aller mobilen Malware-Angriffe zwischen Januar und Juli dar. Ich gehe davon aus, dass sich diese Mode noch mindestens bis zum Jahreswechsel hält und empfehle Android-Nutzern dringend, nur Apps aus offiziellen Quellen herunterzuladen.“