Sicherheits-News

SMSFactory Android Trojaner verursacht hohe Kosten für Opfer

Jakub Vávra 7 Jun 2022

Avast hat innerhalb eines Jahres mehr als 165.000 Menschen weltweit vor SMSFactory geschützt.

Avast hat eine weit verbreitete Malware-Kampagne verfolgt, die aus Trojaner-SMS-Malware besteht, die wir SMSFactory nennen. SMSFactory erschleicht heimlich Geld von Opfern auf der ganzen Welt, unter anderem in Russland, Brasilien, Argentinien, der Türkei, der Ukraine, den USA, Frankreich und Spanien, indem es Premium-SMS versendet und Anrufe an Premium-Telefonnummern tätigt. Diese Nummern scheinen Teil eines Umtauschprogramms zu sein, bei dem die SMS eine Kontonummer enthält, die angibt, wer das Geld für die gesendeten Nachrichten erhalten soll. Unentdeckt kann eine hohe Telefonrechnung von bis zu 7 US-Dollar pro Woche oder 336 US-Dollar pro Jahr anfallen. Eine weitere Version, die wir gefunden haben, ist auch in der Lage, die Kontaktlisten der Opfer zu erfassen, was wahrscheinlich zu einer weiteren Verbreitung der Malware führt. 

Wir haben die Malware aufgrund ihrer Funktionen sowie der klassifizierten Namen in ihrem Code, von denen einer SMSFactory heißt, SMSFactory genannt. 

Meinen Recherchen zufolge verbreitet sich die Malware über Malvertising, Push-Benachrichtigungen und Warnmeldungen, die auf Websites angezeigt werden, die Spiele-Hacks, Inhalte für Erwachsene oder kostenlose Videostreaming-Seiten anbieten, wobei die Malware als App getarnt wird, über die Benutzer*innen auf Spiele, Videos oder Inhalte für Erwachsene zugreifen können. Sobald die Malware installiert ist, versteckt sie sich und macht es den Opfern fast unmöglich, die Ursache für die Abbuchungen auf ihren Telefonrechnungen zu erkennen. 

Eine Reihe von Websites wurde eingerichtet, um die Malware zu verbreiten und fernzusteuern. Avast hat im vergangenen Jahr (Mai 2021-Mai 2022) mehr als 165.000 Avast Nutzer*innen vor SMSFactory geschützt, wobei die meisten Nutzer*innen in Russland, Brasilien, Argentinien, der Türkei und der Ukraine geschützt wurden.

 

Unbemerktes Senden von $-Signalen 

Die bösartigen Akteure hinter SMSFactory nutzen Malvertising, um ihre Kampagne voranzutreiben. Malvertising bezieht sich auf den Missbrauch von Werbung, um Benutzer*innen auf Websites mit Malware umzuleiten, und kann häufig auf Websites erscheinen, die kostenloses Streaming von Filmen und Fernsehsendungen, Inhalte für Erwachsene oder Torrent-Aggregatoren anbieten, gelegentlich aber auch auf Mainstream-Websites. 

Die Weiterleitung führt in diesem Fall zu einer Website wie der im Screenshot unten. Der/die Benutzer*in wird aufgefordert, eine Datei herunterzuladen, die so gestaltet ist, dass sie der Website ähnelt, von der der/die Benutzer*in umgeleitet wurde. Dabei kann es sich z.B. um eine Spiele-Hack-App, eine App mit nicht jugendfreien Inhalten, eine kostenlose Video-Streaming-App oder ähnliches handeln.

 

Weiterleitung der Landing Page mit dynamischem Namen in der oberen rechten Ecke.

 

Beispiele für verschiedene Namen für dieselbe SMSFactory-Anwendung

Sobald der/die Benutzer*in auf "Download" klickt, wird die bösartige App heruntergeladen. Da sie von einem Drittanbieter stammt, fordert die Website den/die Benutzer*in auf, die eingebaute Play Protect-Warnung von Android zu ignorieren und mit der Installation fortzufahren.

Screenshots zeigen, wie SMSFactory den/die Benutzer*in auffordert, Play Protect zu ignorieren, um die Malware zu installieren.

Nach der Installation wird der/die Benutzer*in mit einem Willkommensbildschirm begrüßt. Wenn nun auf "Akzeptieren" geklickt wird, wird das bösartige System der App aktiviert. Die App präsentiert dem/der Benutzer*in dann ein einfaches Menü mit Videos, Inhalten für Erwachsene und Spielen, die nicht funktionieren oder die meiste Zeit nicht verfügbar sind.

Beispiel einer SMSFactory-Anwendung nach der Installation.

Ob ihr bereit seid oder nicht, hier kommen die Gebühren!

SMSFactory wendet mehrere Tricks an, um auf dem Gerät des Opfers zu bleiben und unentdeckt zu werden. Die App hat ein leeres Symbol und kann ihre Anwesenheit vor dem Benutzer verbergen, indem sie ihr Anwendungssymbol vom Startbildschirm entfernt. Außerdem trägt sie keinen Anwendungsnamen, was es dem/der Benutzer*in erschwert, die schädliche Anwendung zu entdecken und zu entfernen. Es ist offensichtlich, dass die Malware darauf angewiesen ist, dass der/die Benutzer*in die Anwendung auf seinem Smartphone vergisst.

 

Leere Symbole und kein App-Name werden verwendet, um die Apps zu tarnen

Sobald die Malware versteckt ist, kommuniziert sie mit einer vorher festgelegten Domain. Sie sendet eine eindeutige, dem Gerät zugewiesene ID, den Standort, die Telefonnummer, die Betreiberinformationen und das Modell des Telefons. Wenn die Akteure*innen hinter dieser Kampagne das Gerät des Opfers für brauchbar halten, sendet die Domain Anweisungen an das Gerät zurück.

Dabei handelt es sich entweder um eine Liste von Telefonnummern, an die die Malware Premium-SMS sendet, oder um eine bestimmte Nummer, die die Anwendung versucht, anzurufen. Beides führt zu überhöhten Gebühren für das Opfer. Der genaue Betrag hängt von den Befehlen ab, die von den Akteuren hinter SMSFactory gesendet werden. In unseren Tests haben wir eine tägliche Gebühr von 1€ für 10 gesendete SMS-Nachrichten festgestellt, die sich auf 28 Euro pro Monat summieren kann. Angenommen, die Opfer bemerken nicht, dass die App installiert ist, oder sie vergessen es, dann kann dies zu einer erpresserischen Telefonrechnung führen.

Oben ist ein Teil der von SMSFactory verwendeten Berechtigungen zu sehen. SMS/MMS-Berechtigungen sowie CALL_PHONE werden verwendet, um Geld von den Opfern abzuschöpfen, indem Nachrichten gesendet und Anrufe an kostenpflichtige Nummern getätigt werden.

Aufgrund der Art der Malware ist sich der/die Benutzer*in möglicherweise des finanziellen Schadens nicht bewusst, bis er/sie seine Telefonrechnung erhält. SMSFactory könnte in der Zwischenzeit erhebliche Kosten verursachen, und für den/die Benutzer*in kann es schwierig sein, den Übeltäter zu identifizieren, da sich die App selbst versteckt.

Verschiedene Factory-Versionen

SMSFactory scheint auch mehrere verschiedene Versionen mit zusätzlichen Funktionen zu haben, die parallel zu dieser jüngsten Kampagne aufgetaucht sind. Eine dieser Varianten kann ein neues Admin-Konto auf dem Android-Gerät erstellen, wodurch es potenziell schwierig wird, es zu entfernen. Eine andere Variante kopiert die Kontaktliste des Opfers und extrahiert sie, wahrscheinlich um sie für die weitere Verbreitung der Malware zu nutzen. Einige Versionen leiten Nutzer zu Websites um, um sie dazu zu bringen, eine weitere SMSFactory-App auf ihrem Gerät zu installieren.

Nur wenige SMSFactory-Beispiele enthalten eine kurze "Bedingungen"-Seite.

Es gibt auch optische Unterschiede zwischen diesen Versionen von SMSFactory. Ältere Versionen, die sich als Spiele-Hacks ausgaben, hatten ein Symbol, während bei den neueren Versionen das Symbol und der Name der App vollständig entfernt wurden. Die Geschäftsbedingungen im obigen Screenshot, in denen die Premium-SMS/Anrufe im Hintergrund erwähnt werden, sind nur in einer Version der Malware enthalten, die ich gefunden habe; in anderen Versionen fehlen diese Informationen völlig.

Was macht SMSFactory einzigartig?

Im Gegensatz zu den jüngsten Trojaner-SMS-Kampagnen wie UltimaSMS oder Grifthorse unterscheidet sich der Verbreitungsvektor von SMSFactory erheblich. Seine Stealth-Merkmale, wie das Fehlen eines App-Symbols und eines Namens, würden im Google Play Store nicht zugelassen werden. Daher haben die bösen Akteure auf ein ziemlich kompliziertes Netzwerk von Websites für die Verbreitung und anschließende Kommunikation mit der Malware zurückgegriffen. 

Eine weitere Neuerung ist der Startbildschirm, der im Gegensatz zu früheren Premium-SMS-Schadprogrammen nicht die Eingabe einer Telefonnummer erfordert, um die Funktionen der Malware zu starten. Während frühere Trojaner-SMS-Kampagnen das Opfer für Premium-Dienste anmelden, sendet SMSFactory einfach SMS an Premium-Nummern, um Geld zu sammeln.

Betroffene Benutzer*innen

 Trotz der fehlenden Präsenz im Play Store haben wir unseren Daten zufolge allein im letzten Jahr über 165.000 Avast-Benutzer*innen vor dieser Malware geschützt. Die hohe Zahl der betroffenen Benutzer*innen und die kürzlich aufgetauchten neuen Versionen zeigen, dass SMSFactory eine aktive Malware ist und sich wahrscheinlich weiter ausbreiten wird.

Karte mit der Anzahl der Avast-Benutzer*innen, die im letzten Jahr vor SMSFactory geschützt wurden (05/2021 - 05/2022).

Wie auf der Karte oben zu sehen ist, befinden sich die Regionen, in denen wir im letzten Jahr die meisten Avast-Benutzer*innen vor SMSFactory geschützt haben, in Russland, Brasilien, Argentinien, der Türkei und der Ukraine. Es scheint, dass SMSFactory nicht auf eine bestimmte Region oder ein bestimmtes Land abzielt, sondern sich auf so viele Geräte wie möglich ausbreiten möchte.

Tipps zur Vermeidung mobiler Malware, wie SMSFactory

  1. Haltet euch an die offiziellen App-Stores. SMSFactory zeigt, wie wichtig es ist, verifizierte App-Stores zur Installation von Anwendungen zu verwenden. Shops von Drittanbietern oder unbekannte Quellen können Malware enthalten und werden nicht von einer Behörde wie Google blockiert.
  2. Installiert ein Antiviren-Programm auf Euren mobilen Geräten. Dies ist besonders wichtig, wenn ihr Anwendungen aus inoffiziellen Quellen installieren möchtet. Auf diese Weise könnt ihr euch vor bösartigen Websites schützen. Ein Antivirenprogramm wirkt wie ein Sicherheitsnetz, das selbst die vorsichtigsten Benutzer*innen schützt.
  3. Bleibt wachsam. Es ist wichtig, beim Herunterladen neuer Apps vorsichtig zu sein, insbesondere bei Apps, die in kurzen und einprägsamen Videos oder über Push-Benachrichtigungen im Browser beworben werden.
  4. Deaktiviert oder begrenzt Premium-SMS bei eurem Anbieter. Es gibt zwar legitime Verwendungszwecke für Premium-SMS, doch die jüngsten SMS-Malware-Kampagnen machen deutlich, wie wichtig die Kontrolle über potenzielle Gebühren im Rahmen des Telefonvertrags eines Nutzers ist. Die Deaktivierung von Premium-SMS-Funktionen oder zumindest die Festlegung eines Limits verringert die potenziellen Auswirkungen von Trojaner-SMS-Kampagnen erheblich. Dieser Schritt ist besonders wichtig bei Handys von Kindern.

Um die vollständige Liste der SMSFactory IOCs zu sehen, klickt hier.

Interessiert an mehr News von uns? Folgt uns auf Facebook und auf Twitter!