Benutzer laufen Gefahr, dass ihre OTP-Codes auf Android-Telefonen gestohlen werden

Laut einem Bericht des Sicherheitsunternehmens Zimperium wird diese Kampagne seit Februar 2022 erkannt und überwacht. Bis heute wurden mindestens 107.000 entsprechende Malware-Samples identifiziert.

Die Malware zielt in erster Linie auf Android-Geräte ab und hat das Ziel, OTP-Codes zu stehlen, eine Art Einmalkennwort, das häufig für die Zwei-Faktor-Authentifizierung bei Anmeldungen oder Online-Transaktionen verwendet wird.

Die Kampagne nutzte mehr als 2.600 Telegram-Bots zur Verbreitung der Malware, die von 13 Command & Control (C&C)-Servern gesteuert wurden. Die Opfer dieser Kampagne verteilten sich auf 113 Länder, konzentrierten sich jedoch vor allem auf Indien, Russland, Brasilien, Mexiko und die USA.

Die Verbreitung der Schadsoftware erfolgt hauptsächlich über zwei Wege: Opfer können dazu verleitet werden, gefälschte Websites zu besuchen, die wie Google Play aussehen. Oder sie können Opfer über Telegram-Bots dazu verleiten, raubkopierte APK-Apps herunterzuladen. Um die App herunterzuladen, müssen Nutzer ihre Telefonnummer angeben, die die Schadsoftware dann verwendet, um eine neue APK-Datei zu generieren. Angreifer können die App verfolgen oder weitere Angriffe starten.

Wenn ein Nutzer einer schädlichen App unwissentlich SMS-Zugriff gewährt, kann die Schadsoftware SMS-Nachrichten lesen, einschließlich der an das Telefon gesendeten OTP-Codes. Dies ermöglicht Angreifern nicht nur den Diebstahl vertraulicher Informationen, sondern setzt das Opfer auch dem Risiko von Kontomissbrauch und sogar Finanzbetrug aus.

Sobald der OTP-Code gestohlen ist, kann der Angreifer problemlos auf die Bankkonten, E-Wallets oder andere Online-Dienste des Opfers zugreifen, was schwerwiegende finanzielle Folgen haben kann. Darüber hinaus können einige Opfer auch unwissentlich in illegale Aktivitäten verwickelt sein.

Zimperium stellte außerdem fest, dass die Malware gestohlene SMS-Nachrichten an einen API-Endpunkt bei „fastsms.su“ übermittelte, einer Website, die Zugang zu virtuellen Telefonnummern im Ausland verkauft. Diese Telefonnummern können zur Anonymisierung von Online-Transaktionen verwendet werden, wodurch ihre Rückverfolgung erschwert wird.

Um sich vor Angriffsrisiken zu schützen, wird Android-Benutzern Folgendes empfohlen:

Laden Sie keine APK-Dateien von Quellen außerhalb von Google Play herunter: Diese Dateien können schädlichen Code enthalten, mit dem Ihre Informationen leicht gestohlen werden können.

Gewähren Sie unbekannten Apps keinen SMS-Zugriff: Dadurch verringern Sie das Risiko, dass Schadsoftware Nachrichten mit Ihrem OTP-Code lesen kann.

Play Protect aktivieren: Dies ist eine Sicherheitsfunktion von Google Play, die schädliche Apps auf Ihrem Gerät scannt und erkennt.