Microsofts Defender-Forschungsteam hat sich Android-Malware genauer angesehen und dabei Apps untersucht, die Gebührenbetrug begehen. Anders als bei SMS- oder Anruf-Betrug nutzten diese WAP Billing, schließen also heimlich Abos auf WAP-Seiten ab, wofür Gebühren mit der Telefonrechnung eingezogen werden. Um diese Art von Betrug zu begehen, müssen die Cyberkriminellen unter anderem dafür Sorge tragen, im Mobilfunknetz unterwegs zu sein sowie Bestätigungs-SMS abzufangen, die potenziellen Opfern sonst Hinweise auf die unlauteren Vorgänge liefern könnten. Zudem muss sich der bösartige Code-Teil gut verstecken, um nicht bei den automatischen (statischen) Analysen aufzufallen. So etwas gelingt den bösartigen Akteuren immer wieder, sodass knapp 35 Prozent der potenziellen schädlichen Apps im Google Play Store in diese Kategorie fallen, schreibt Microsoft. Auf dem ersten Platz direkt davor lande nur die Kategorie Spyware. Um diese Ziele zu erreichen, überprüft die Malware in der Regel den Telefonstandort und Netzbetreiber. Sie werde nur bei bestimmten Kombinationen davon aktiv. Zudem gibt es noch Unterschiede, die auf die genutzte Android-Version zurückgehen. Bis Android 9 war es demnach Apps möglich, WLAN zu deaktivieren und das Smartphone so in das Mobilfunknetzwerk wechseln zu lassen. Bei neuerem Betriebssystem muss eine App etwa im Hintergrund warten und könne sich benachrichtigen lassen, dass ein Netzwerkwechsel stattgefunden hat. Schließlich müsse die Malware die Einmalpasswörter abfangen, die entweder per HTTP, USSD (ein GSM-Protokoll) oder per SMS aufs Handy kommen. Für USSD gelingt dies nur mit Einklinken in Barrierefreiheit-Dienste, aus HTTP-Antworten muss der Token extrahiert werden. Zum Abfangen von SMS genüge das Abfragen von App-Berechtigungen für android.permission.RECEIVE_SMS
. Das betrügerische Abschließen der Abos finde dann in mehreren Schritten statt:
- Deaktivieren der WLAN-Verbindung oder warten auf den Wechsel ins mobile Datennetz
- Heimlich die Abo-Seite ansurfen
- Automatisch den Abonnieren-Button klicken
- Abfangen des Einmalpassworts (OTP) (falls anwendbar)
- Senden des OTP an den Diensteanbieter (wenn anwendbar)
- Verwerfen der SMS-Benachrichtigungen (wenn anwendbar)
Um sich vor der statischen Erkennung zu verstecken, nutze die Malware Mechanismen wie dynamisches Laden von Code. Teile des Malware-Codes werden nur geladen, wenn bestimmte Bedingungen erfüllt sind. In ihrem Blogbeitrag erläutern Microsofts Virenforscher, wie die Malware zunächst ein Passwort aus den eigenen Ressourcen wiederherstellt, mit dem eine AES-verschlüsselte Binärdatei in den Anwendungscache entschlüsselt und gestartet werde. In einer zweiten Stufe werde eine .apk-Datei entschlüsselt und Funktionen daraus ausgeführt, die in einer dritten Stufe eine .jar-Datei herunterladen, die schließlich die betrügerischen Aktionen ausführt. Um sich vor Malware wie dieser zu schützen, erörtert Microsoft die üblichen Hinweise, wie dem, dass Anwendungen nur aus dem offiziellen App-Store geladen und installiert werden sollten. Zudem sollten Nutzerinnen und Nutzer Anwendungen keine Berechtigungen für SMS oder Benachrichtigungs-Handler oder Zugriffe auf Dienste zur Barrierefreiheit geben. Ein Malware-Schutz sei ebenfalls empfehlenswert. Und der vielleicht wichtigste Hinweis folgt erst zum Schluss: Ein Smartphone, das schon länger keine Sicherheitsupdates mehr erhält, durch ein neueres, vom Hersteller noch unterstütztes Gerät ersetzen. In die offiziellen App-Stores finden immer wieder auch bösartige Apps ihren Weg. Dabei helfen unter anderem die hier beschriebenen Maßnahmen der Cyberkriminellen, den Schadcode erst in mehreren Stufen zu laden. Dennoch finden die Anbieter hier Malware mit höherer Wahrscheinlichkeit – und können sie auch gleich auf den Endgeräten unschädlich machen.