Gefälschte Apps auf chinesischen Android-Smartphones zielen auf Krypto-Nutzer

MÜNCHEN (IT BOLTWISE) – In einer alarmierenden Entwicklung wurden preiswerte Android-Smartphones aus China entdeckt, die mit vorinstallierten, trojanisierten Apps ausgeliefert werden. Diese Apps, die sich als WhatsApp und Telegram tarnen, enthalten Funktionen, um Kryptowährungen zu manipulieren und Nutzer zu betrügen.

In einer beunruhigenden Enthüllung hat der russische Antivirus-Anbieter Doctor Web festgestellt, dass günstige Android-Smartphones aus China mit vorinstallierten, trojanisierten Apps ausgeliefert werden. Diese Apps, die sich als beliebte Messenger wie WhatsApp und Telegram ausgeben, sind mit einer Funktion ausgestattet, die es ermöglicht, Kryptowährungstransaktionen zu manipulieren. Diese Kampagne, die seit Juni 2024 läuft, zeigt eine signifikante Eskalation der Bedrohung, da die Angreifer direkt die Lieferkette verschiedener chinesischer Hersteller ins Visier nehmen, um neue Geräte mit diesen schädlichen Apps auszustatten.

Die Mehrheit der kompromittierten Geräte sind preisgünstige Telefone, die bekannte Premium-Modelle von Samsung und Huawei nachahmen, mit Namen wie S23 Ultra, S24 Ultra, Note 13 Pro und P70 Ultra. Mindestens vier der betroffenen Modelle werden unter der Marke SHOWJI hergestellt. Die Angreifer verwenden eine Anwendung, um die technischen Spezifikationen auf der Seite “Über das Gerät” zu fälschen, sowie Hardware- und Software-Informationsprogramme wie AIDA64 und CPU-Z, um den Nutzern den Eindruck zu vermitteln, dass die Telefone mit Android 14 laufen und verbesserte Hardware besitzen.

Die schädlichen Android-Apps werden mit einem Open-Source-Projekt namens LSPatch erstellt, das es ermöglicht, den Trojaner, der als Shibai bezeichnet wird, in ansonsten legitime Software zu injizieren. Insgesamt wird geschätzt, dass etwa 40 verschiedene Anwendungen, wie Messenger und QR-Code-Scanner, auf diese Weise modifiziert wurden. In den von Doctor Web analysierten Artefakten kapert die Anwendung den App-Aktualisierungsprozess, um eine APK-Datei von einem Server unter der Kontrolle des Angreifers abzurufen und nach Zeichenfolgen in Chat-Konversationen zu suchen, die den Mustern von Kryptowährungs-Wallet-Adressen entsprechen, die mit Ethereum oder Tron verbunden sind. Wenn sie gefunden werden, werden sie durch die Adressen der Angreifer ersetzt, um Transaktionen umzuleiten.

Zusätzlich zur Manipulation von Wallet-Adressen ist die Malware auch mit Funktionen ausgestattet, um Geräteinformationen, alle WhatsApp-Nachrichten und Bilder im .jpg-, .png- und .jpeg-Format aus den Ordnern DCIM, Bilder, Alarme, Downloads, Dokumente und Screenshots auf den Server des Angreifers zu übertragen. Der Zweck dieses Schrittes besteht darin, die gespeicherten Bilder nach Wallet-Wiederherstellungsphrasen zu durchsuchen, um den Angreifern unbefugten Zugriff auf die Wallets der Opfer zu ermöglichen und die Vermögenswerte zu stehlen.

Es ist unklar, wer hinter der Kampagne steckt, obwohl die Angreifer etwa 30 Domains nutzen, um die schädlichen Anwendungen zu verbreiten, und mehr als 60 Command-and-Control-Server einsetzen, um den Betrieb zu verwalten. Eine weitere Analyse der fast zwei Dutzend von den Angreifern verwendeten Kryptowährungs-Wallets hat ergeben, dass sie in den letzten zwei Jahren mehr als 1,6 Millionen US-Dollar erhalten haben, was darauf hindeutet, dass der Lieferkettenkompromiss sich in großem Maße ausgezahlt hat.

Diese Entwicklung kommt zu einem Zeitpunkt, an dem das Schweizer Cybersicherheitsunternehmen PRODAFT eine neue Android-Malware-Familie namens Gorilla aufgedeckt hat, die darauf ausgelegt ist, sensible Informationen zu sammeln, wie z.B. Gerätemodell, Telefonnummern, Android-Version, SIM-Kartendetails und installierte Apps, um persistenten Zugriff auf infizierte Geräte zu erhalten und Befehle von einem Remote-Server zu empfangen. Im Gegensatz zu vielen fortschrittlichen Malware-Stämmen verwendet Gorilla noch keine Verschleierungstechniken, was darauf hindeutet, dass es sich noch in der aktiven Entwicklung befindet.

In den letzten Monaten wurden auch Android-Apps entdeckt, die den FakeApp-Trojaner über den Google Play Store verbreiten und einen DNS-Server nutzen, um eine Konfiguration abzurufen, die eine zu ladende URL enthält. Diese Apps, die inzwischen aus dem Marktplatz entfernt wurden, geben sich als bekannte und beliebte Spiele und Apps aus und sind mit der Fähigkeit ausgestattet, externe Befehle zu empfangen, die verschiedene schädliche Aktionen ausführen können, wie das Laden unerwünschter Websites oder das Bereitstellen von Phishing-Fenstern.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!