-
-
folge blueBit auf Facebook -
folge blueBit auf Twitter@blueBit_News folgen -
folge blueBit auf Google Plus
-
von Robert Klatt •
Die Malware war Teil einer eigentlich harmlosen App. Neben dem Datendiebstahl wurden die Smartphones auch zum Abschluss von Premium-Diensten genutzt.
Smartphones des Typs Alcatel Pixi 4 wurden laut einem Bericht des britischen Sicherheitsunternehmens Upstream mit ab Werk vorinstallierter Malware ausgeliefert. Betroffen ist die von TLC entwickelte Wetter-App "Weather Forecast – World Weather Accurate Radar", die auf den betroffenen Smartphones vorinstalliert wurde. Außerdem wurde die App auch über den Google Play Store verteilt und dort für verschiedene Smartphones angeboten. Zu TLC gehören unteranderem die Marken Palm und Blackberry.
Wann genau die eigentlich harmlose Wetter-App angefangen hat die Malware zu verteilen und wie dabei vorgegangen wurde, die Malware in die App einzuschleusen ist nicht bekannt. Die Untersuchung von Upstream hat lediglich ergeben, dass die Infektion irgendwann im Laufe des letzten Jahres erfolgt ist. Die Hintermänner haben es so geschafft, die Malware an den Kontrollen des Google Play Stores vorbei zu schleusen und sie auf die neu hergestellten Alcatel Smartphones zu bringen. Möglicherweise wurde dazu der Computer des eigentlichen Entwicklers gehackt, um so die Malware in den Code der Wetter App einzuschleusen.
Entdeckt wurde die Malware erstmalig im Sommer 2018, als Upstream verdächtigen Datenverkehr untersuchte, der von den Smartphones einiger Kunden ausging. Auf den Smartphones wurden private Daten durch die Malware gesammelt und dann an Server in China übertragen. Darunter befanden sich unteranderem die Standortdaten, die E-Mail-Adressen und die IMEI-Nummern.
Neben dem Datendiebstahl hat die Malware in einigen Regionen versucht über die kontrollierten Smartphones Premium-Telefondienste abzuschließen. Allein in Brasilien soll die Malware versucht haben im Zeitraum vom Juli bis Ende August 2018 2,5 Millionen Premium-Telefondienste abzuschließen. Dafür wurde insgesamt 128.845 eindeutige Mobilfunknummer genutzt, die auf eine ähnlich hohe Anzahl gehackter Smartphones hinweist. Neben Brasilien waren davon auch Nutzer in Kuwait, Nigeria, Südafrika, Ägypten und Tunesien betroffen.
Zusätzlich haben die Hacker Einnahmen über Werbebetrug erzielt. Dazu haben sie auf einem Teil der infizierten Smartphones versteckte Browserfenster gestartet, in denen sie dann Werbung auf dafür erstellten Webseiten geklickt haben. Der Datenverbrauch lag dabei je Smartphone und Tag bei bis zu 250 MByte.
Entdeckt wurde die Malware auf den Alcatel Modelle A3 Max und Pixi 4. Da die App auch im Play Store angeboten wurde, konnten die Hacker aber auch eine Reihe anderer Smartphones infizieren. Inzwischen hat Google die betroffene App aus ihrem Angebot gelöscht.