SmsSpy Malware
Die von der Hackergruppe Roaming Mantis durchgeführte Smishing-Kampagne entwickelt sich weiter. Die Hauptziele der Operation waren Benutzer aus asiatischen Ländern, aber jetzt haben die Hacker eine neue Malware namens SmsSpy bereitgestellt, die speziell dafür entwickelt wurde, japanische Benutzer zu infizieren. Das Hauptziel der Malware-Belastung besteht darin, Telefonnummern und SMS-Nachrichten von den gefährdeten Android-Geräten zu sammeln. Die Bedrohung kann je nach Android-Betriebssystemversion des Benutzers zwei verschiedene Versionen bereitstellen, was zu einer erheblichen Zunahme potenzieller Opfer führt.
Anfänglicher Kompromissvektor
Der Angriff beginnt mit Phishing-SMS-Nachrichten, die Benutzer zu einer beschädigten Webseite führen. Der genaue Text der gefälschten Nachricht kann variieren, da die Cyberkriminellen vorgeben könnten, ein Logistikunternehmen zu sein, das für einen Dienst des Benutzers eine Bestätigung benötigt. In einem anderen Szenario werden Benutzer angeblich vor Problemen mit ihrem Bitcoin-Konto gewarnt und angewiesen, dem angegebenen Link zu folgen, um ihre Anmeldeinformationen zu überprüfen.
Die Phishing-Seite sucht dann nach der Android-Version des Geräts des Benutzers, um die folgenden Schritte des Angriffs zu ermitteln. Auf Geräten mit Android OS 10 oder höher wird die Malware-Bedrohung als gefälschte Google Play-Anwendung bereitgestellt. Bei Geräten mit Android 9 oder früher wird stattdessen eine gefälschte Chrome-Anwendung heruntergeladen.
Die bedrohliche Funktionalität von SmsSpy
Nach der Installation fordert die schädliche Anwendung an, als Standardnachrichtenanwendung für das Gerät festgelegt zu werden, um Zugriff auf die Kontakte und SMS-Nachrichten des Opfers zu erhalten. Der dem Benutzer angezeigte Benachrichtigungsbildschirm entspricht der Version der heruntergeladenen Anwendung. Die Google Play-Variante stellt sich als Sicherheitsdienst dar, der angeblich Viren-, Spyware-, Anti-Phishing- und Spam-Mail-Schutz bietet. Die gefälschte Chrome-Anwendung warnt Benutzer, dass das Nichtakzeptieren ihrer Berechtigungsanforderungen dazu führen kann, dass die Anwendung ihre Funktionen nicht starten oder einschränken kann.
Anschließend blendet SmsSpy sein Symbol aus und versucht, über eine WebSocket-Kommunikation eine Kommunikation mit seinem Command-and-Control-Server herzustellen. Die Standardadresse ist in den Code der Malware eingebettet, enthält jedoch auch Linkinformationen, die aktiviert werden, wenn der Standort des C2-Servers aktualisiert werden muss. Die C2-Server sind normalerweise auf der Benutzerprofilseite eines Blog-Dienstes versteckt. Es wurde jedoch auch beobachtet, dass einige Beispiele einen chinesischen Online-Dokumentendienst für denselben Zweck verwenden.
Während des ersten Handshakes sendet die SmsSpy-Malware Systemdetails über das infizierte Gerät, einschließlich der Android-Betriebssystemversion, der Telefonnummer, des Gerätemodells, einer eindeutigen Geräte-ID und des Internetverbindungstyps. Die Bedrohung wechselt dann in einen Abhörmodus, in dem sie ruht, während sie auf eingehende Befehle wartet. Die Angreifer können das gesamte Kontaktbuch und SMS-Nachrichten filtern, SMS-Nachrichten senden und löschen und vieles mehr.
