Elibomi Android-Malware

Bei Live-Angriffen von Cyberkriminellen wurde eine neue Familie von Phishing-Android-Malware entdeckt. Die Bedrohung wurde von den Forschern entdeckt, die sie Elibomi nannten. Die Bedrohung beruht auf Social-Engineering-Taktiken und gefälschten Android-Anwendungen, um Informationen von ihren Opfern zu sammeln und auf Server unter der Kontrolle der Hacker zu übertragen.

Erster Elibomi-Angriff

Der erste Angriff mit der Elibomi-Bedrohung fand Ende 2020 statt. Die Bedrohungsakteure lieferten eine gefälschte „IT-Zertifikats“-Anwendung auf die Geräte ihrer Opfer. Die bewaffnete Anwendung imitierte ein Modul zur Verwaltung von IT-Zertifikaten, das vorgibt, das Gerät mit einem nicht vorhandenen Server zu validieren. Die Anwendung fordert den Erhalt von SMS-Berechtigungen sowie Administratorrechten an. Letzteres wird wahrscheinlich missbraucht, um Entfernungsversuche zu erschweren. Während den Opfern ein fiktiver „Sicherheitsscan“ präsentiert wird, sammelt die Anwendung im Hintergrund sensible Informationen wie E-Mails, Telefonnummern, gespeicherte SMS/MMS-Nachrichten und mehr.

Zweiter Elibomi-Angriff

Die neuere Kampagne, die die Elibomi-Bedrohung verbreitete, zielte auf indische Steuerzahler ab. Die Hacker haben die Identität ihres gefälschten Antrags vertauscht und dieser wurde nun als Antrag zur Steuererklärung präsentiert. Der Angriff beginnt mit der Verbreitung gezielter SMS-Nachrichten, die angeblich von der indischen Einkommensteuerbehörde stammen. Um legitimer zu erscheinen, erwähnen die Lockbotschaften die Namen der anvisierten Personen. Das Ziel in dieser Phase besteht darin, das Opfer dazu zu bringen, auf den bereitgestellten Link zu klicken, unter dem falschen Vorwand, dass es eine dringende Aktualisierung seiner Einkommensteuerrückerstattung gegeben hat.

Die beschädigten Links führen zu einer Phishing-Seite, die wiederum behauptet, der indischen Einkommensteuerbehörde zu gehören. Die Phishing-Seite weist Benutzer an, die Anwendung herunterzuladen, die die Elibomi-Bedrohung heimlich trägt. Das Paket der bedrohlichen Anwendung wird nach dem Muster benannt - random word.random string.imobile. Die infosec-Forscher entdeckten, dass mehrere Versionen der gefälschten Anwendung verbreitet wurden, von denen einige nur eine gefälschte Anmeldeseite zeigten, während andere auch eine Option für gefälschte Registrierungs- und Steuerrückerstattungsanträge besaßen.

Die Elibomi-Bedrohung erfasst erneut sensible Daten von dem kompromittierten Gerät sowie alle Finanzinformationen, die sie ihren Opfern entlocken kann. Es kann E-Mails, Telefonnummern, SMS/MMS-Nachrichten, Finanzdaten und personenbezogene Daten abrufen. Seltsamerweise wurden die gesammelten Daten auf Server hochgeladen, die für das Internet offen waren, um die Informationen des Opfers effektiv der Öffentlichkeit zugänglich zu machen. Möglicherweise haben die Hacker bemerkt, dass ihr Fehler entdeckt wurde und die gesammelten Informationen nicht mehr verfügbar sind.