Forskare säger att skadliga Android-applikationer förklädda som legitima shoppingappar stjäl malaysiska bankkunders finansiella data.
På onsdagen publicerade ESETs cybersäkerhetsteam ny forskning som dokumenterar tre separata appar som riktar sig till kunder som tillhör åtta malaysiska banker.
Angriparna, som först identifierades i slutet av 2021, började med att distribuera en falsk app som utgav sig för att vara Maid4u, ett legitimt varumärke för städtjänster. De ansvariga cyberattackarna skapade en webbplats med ett liknande namn – en teknik som kallas typosquatting – och försökte locka potentiella offer att ladda ner den skadliga Maid4u-appen.
Betalda Facebook-annonser användes för att främja domänens utseende av legitimitet och för att fungera som en distributionsmetod.
I januari delade MalwareHunterTeam ytterligare tre webbplatser som verkar i samma veva, och i skrivande stund pågår kampanjen fortfarande. ESET har sedan dess hittat ytterligare fyra skadliga webbplatser som efterliknar legitima malaysiska shopping- och städtjänster.
Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy och MaidACall efterliknas alla tillsammans med PetsMore, en djuraffär. Fem av de missbrukade tjänsterna har ingen app på Google Play.
De skadliga domänerna tillåter inte kunder att köpa produkter eller tjänster direkt. Istället är attackvektorn en knapp som påstår sig länka till Google Play, Googles officiella applager, för kunderna att betala igenom.
De falska Android-apparna som är kopplade till köpknapparna finns på angriparens servrar. I det här skedet kan ett offer undvika infektion om de har valt att inte aktivera “Installera okända appar” – en standardsäkerhetsmekanism för Android-telefoner – men om de installerar programvaran visas de olika “betalningsalternativ” via apparna .
Medan två “alternativ” visas – en kreditkortsbetalning eller en direkt banköverföring – fungerar det första alternativet inte. Återstående med banköverföringar presenteras offren för en falsk betalningssida som listar åtta malaysiska banker: Maybank, Affin Bank, Public Bank Berhad, CIMB Bank, BSN, RHB, Bank Islam Malaysia och Hong Leong Bank.
När användare anger sina bankuppgifter skickas de till angriparens kommando-och-kontroll-server (C2). Offret får sedan ett felmeddelande.
“För att säkerställa att hotaktörerna kan komma in på sina offers bankkonton vidarebefordrar de falska e-butiksapplikationerna också alla SMS-meddelanden som offret tagit emot till operatörerna i fall de innehåller tvåfaktorsautentiseringskoder (2FA) som skickats av banken “, tillade forskarna.
Den skadliga programvaran som är inbäddad i dessa appar är dock förenklad: en grundläggande informationsstöldare och vidarebefordran av meddelanden. Bristen på sofistikering framhävs eftersom apparna inte kan fånga upp, dölja eller radera 2FA SMS-meddelanden från ett offers telefon när en angripare försöker komma åt sitt bankkonto, och så bedrägliga åtkomstförsök kan flaggas när 2FA-koder skickas till Android-enheten.
En av offerorganisationerna som efterliknas, MaidACall, har publicerat ett Facebook-inlägg som varnar sina kunder för kampanjen.
“För närvarande riktar kampanjen sig enbart till Malaysia, men den kan komma att expandera till andra länder och banker senare”, säger ESET. “Dessutom kan angriparna också möjliggöra stöld av kreditkortsinformation i skadliga appar i framtiden.”
Se även
Har du ett tips? Kom i kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
