Im Amazon Appstore wurde eine bösartige Android-Spyware-Anwendung namens „BMI CalculationVsn“ entdeckt, die sich als Gesundheitstool ausgibt und dabei heimlich Daten von Benutzern stiehlt. Diese Anwendung war identifiziert von McAfee Labs-Forschern, die Amazon umgehend benachrichtigten, was zur Entfernung aus dem Store führte. Benutzer, die die App zuvor installiert haben, müssen sie jedoch manuell löschen und einen vollständigen Scan durchführen, um sicherzustellen, dass die Spyware vollständig entfernt wird.
Schädliche Spyware-App im Amazon Appstore entdeckt
Die von „PT Visionet Data Internasional“ veröffentlichte Anwendung „BMI CalculationVsn“ versucht, sich als unkomplizierter Rechner für den Body-Mass-Index (BMI) zu präsentieren. Benutzer treffen auf eine scheinbar einfache Schnittstelle, die es ihnen ermöglicht, ihr Gewicht und ihre Größe einzugeben, um ihren BMI zu berechnen; Allerdings werden im Hintergrund weitere böswillige Funktionen ausgeführt.
Bei der Aktivierung der App wird ein Bildschirmaufzeichnungsdienst gestartet, bei dem der Benutzer um Erlaubnis bittet, wenn er auf die Schaltfläche „Berechnen“ klickt. Diese Taktik kann Benutzer dazu verleiten, reflexartige Genehmigungen zu erteilen. Während die Untersuchung von McAfee ergab, dass das aufgezeichnete Video lokal als MP4-Datei gespeichert ist, wurde es nicht auf den Command and Control (C2)-Server hochgeladen. Diese Vermeidung ist wahrscheinlich darauf zurückzuführen, dass sich die App noch in der Entwicklungsphase befindet.
Eine weitere Untersuchung des Verlaufs der App ergab, dass die App zum ersten Mal am 8. Oktober erschien, mit Änderungen an ihrem Symbol, der Hinzufügung weiterer bösartiger Funktionen und Aktualisierungen ihrer Zertifikatsinformationen bis zum Monatsende.
Funktionalitäten und Datendiebstahlmaßnahmen
Die Mickey CalculationVsn-App ist an verschiedenen schädlichen Aktivitäten beteiligt, die darauf abzielen, die Benutzersicherheit zu gefährden. Zusätzlich zur Bildschirmaufzeichnung wird das Gerät nach anderen installierten Anwendungen durchsucht, was es Angreifern ermöglichen könnte, auf der Grundlage der abgerufenen Informationen ihre nächsten Schritte zu planen. Diese Fähigkeit ermöglicht es ihnen, Zielbenutzer effektiver zu identifizieren.
Darüber hinaus fängt die Spyware auf dem Gerät gespeicherte SMS-Nachrichten ab und sammelt sie, wobei möglicherweise Einmalpasswörter (OTPs) und Bestätigungscodes erfasst werden. Die abgefangenen SMS-Daten werden anschließend in einen Firebase-Speicher-Bucket hochgeladen, was eindeutig auf eine koordinierte Anstrengung zur Extraktion vertraulicher Benutzerinformationen hinweist.
Das BADBOX-Botnetz infiziert weltweit über 192.000 Android-Geräte
Die App ist noch in Arbeit, da die Untersuchung früherer Beispiele darauf hindeutet, dass sie sich noch in der Testphase befindet. Die Code-Inspektion ergab, dass die ursprüngliche Version als Bildschirmaufzeichnungs-App gestartet war, deren Funktionalität später jedoch umgestaltet wurde, als das Symbol in das eines BMI-Rechners geändert wurde.
Der Entwickler von BMI CalculationVsn firmiert unter dem Namen „PT Visionet Data Internasional“, was offenbar den Ruf eines legitimen Anbieters von IT-Management-Diensten für Unternehmen in Indonesien missbraucht. Dies deutet darauf hin, dass der Ersteller der Malware über einen technischen Hintergrund verfügt und möglicherweise über ein Verständnis der Prinzipien der Softwareentwicklung verfügt.
Angesichts dieser Entdeckung wird Benutzern empfohlen, wachsam zu bleiben, wenn sie Apps aus dem Amazon Appstore herunterladen, der als Alternative zu Google Play möglicherweise Apps hostet, die herkömmliche Sicherheitsmaßnahmen umgehen. Zu den zu berücksichtigenden Vorsichtsmaßnahmen gehören die Installation vertrauenswürdiger Antivirensoftware, die sorgfältige Überprüfung angeforderter App-Berechtigungen und die Achtsamkeit gegenüber ungewöhnlichem Geräteverhalten, das auf böswillige Aktivitäten hinweisen könnte.
Trotz der Entfernung der App aus dem Appstore bleiben die Risiken für Benutzer, die sie installiert haben, bestehen.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney
