Wie Zimperium berichtet, prüft jede der Schad-Apps nach dem Start zuerst den Mobilfunkbetreiber. Der Betrugsablauf startet nur, wenn der Anbieter zu den fest einprogrammierten Zielen zählt, darunter DiGi, Celcom, Maxis und U Mobile in Malaysia. Gehört das Gerät zu einem nicht anvisierten Anbieter, zeigt die App lediglich eine harmlose Webseite und vermeidet jedes Verhalten, das eine Entdeckung auslösen könnte.

Das zLabs-Team von Zimperium identifizierte drei Varianten der Malware mit unterschiedlichem technischen Reifegrad. Als technisch ausgefeilteste gilt die auf malaysische Nutzer ausgerichtete Variante, weil sie den gesamten Abo-Vorgang automatisiert. Verlangt die Abrechnung über die Mobilfunkrechnung ein Einmalpasswort, blendet die Malware eine gefälschte Bestätigungsabfrage ein. Die Nutzer sollen einen Code eingeben, der scheinbar ein Spielkonto verifiziert, tatsächlich aber im Hintergrund ein kostenpflichtiges Abo autorisiert.

Diese Variante missbraucht laut Zimperium die SMS Retriever API von Google – eigentlich eine Funktion, mit der Apps Einmalpasswörter automatisch erkennen –, um OTPs unbemerkt abzufangen und für die Abrechnungsbestätigung zu verwenden, ganz ohne Zutun der Nutzer. Zusätzlich deaktiviert sie heimlich die WLAN-Verbindung des Geräts, um sämtlichen Datenverkehr über das Mobilfunknetz zu zwingen, das für die Authentifizierung bei der Abrechnung über die Mobilfunkrechnung oft entscheidend ist.

Die zweite Variante zielt auf thailändische Nutzer und kombiniert direkten SMS-Betrug mit der Übernahme von Browser-Sitzungen. Nach Bestätigung eines bestimmten thailändischen Mobilfunkanbieters versendet sie automatisch SMS an kostenpflichtige Servicenummern und meldet das Opfer für mehrere Abos an. Eine seriös wirkende Webseite hält die Nutzer beschäftigt, während versteckte WebViews im Hintergrund auf die Abrechnungsportale der Anbieter zugreifen, Sitzungs-Cookies stehlen und authentifizierte Sitzungen aufrechterhalten.

Die dritte Variante verbindet die Abo-Betrugsfunktionen der beiden anderen mit einem Echtzeit-Meldesystem über Telegram. Die Malware informiert die Betreiber sofort über jede wichtige Aktion – etwa Installation, erteilte Berechtigungen und erfolgreich versendete Premium-SMS. Jede Meldung enthält Gerätekennung, den Namen der gefälschten App, die Vertriebsplattform, den genutzten Mobilfunkbetreiber und einen Zeitstempel. So erkennen die Betreiber, welche App-Identitäten und Vertriebskanäle die meisten erfolgreichen Infektionen liefern. Verbreitet wurden die Apps laut Zimperium über TikTok, Facebook und Google. Das Vorgehen deute auf eine gut organisierte Operation mit klarer Erfolgsmessung zur Kampagnenoptimierung hin.

Für Unternehmen sei die Kampagne bedeutsam, weil Mobilgeräte geschäftliche E-Mail-Konten, Single-Sign-on-Sitzungen und Codes für die Mehr-Faktor-Authentifizierung tragen, ergänzte Shane Barney, CISO bei Keeper Security. Der Angriff sei „nicht raffiniert im klassischen Sinn", er knacke keine Verschlüsselung und nutze keine Zero-Day-Lücke, sondern fange SMS-basierte Einmalpasswörter ab, die viele Organisationen trotz bekannter Schwäche weiter einsetzen.

Vineeta Sangaraju, KI-Forschungsingenieurin bei Black Duck, wertet die Kampagne als gemeinsames Versagen der Kontrollmechanismen im gesamten mobilen Ökosystem und nicht bloß als Problem mangelnden Nutzerbewusstseins. Der Missbrauch der SMS Retriever API und der WebView-Komponente betreffe „keine obskuren Angriffsflächen, sondern dokumentierte, weit verbreitete Plattformfunktionen", deren Schutzmaßnahmen mit dem Missbrauchspotenzial nicht Schritt gehalten hätten. Als praktische Antwort empfiehlt sie, besonders bei erlaubten Privatgeräten im Unternehmen (BYOD), App-Installationen ausschließlich aus offiziellen Stores zuzulassen.