MalwareCyberkriminalitätHackerangriffe

Betrüger-Netzwerk: 250 gefälschte Android-Apps erbeuten Millionen durch Carrier-Billing

Von CyberDeutsch Redaktion
Betrüger-Netzwerk: 250 gefälschte Android-Apps erbeuten Millionen durch Carrier-Billing
Zusammenfassung

Eine groß angelegte Kampagne mit knapp 250 gefälschten Android-Apps richtet sich gezielt gegen Nutzer in Malaysia, Thailand, Rumänien und Kroatien. Die als beliebte Anwendungen wie Messenger, TikTok, Minecraft und Grand Theft Auto getarnten Malware-Apps enrollieren Opfer ohne deren Wissen in kostenpflichtige, über die Mobilfunkrechnung abgerechnete Premium-Dienste. Die Bedrohungsakteure nutzen dabei fortgeschrittene Techniken wie WebView-Automatisierung, JavaScript-Injection und SMS-One-Time-Password-Interception, um Transaktionen vollständig im Hintergrund zu manipulieren. Obwohl die Kampagne primär in Südostasien und Osteuropa aktiv ist, offenbaren die dokumentierten Angriffsmethoden fundamental Sicherheitslücken im mobilen Ökosystem, die auch deutsche Nutzer gefährden könnten. Besonders besorgniserregend ist die Missbrauchsmöglichkeit von Googles SMS-Retriever-API und WebView-Komponenten – dokumentierte, weit verbreitete Plattformfunktionen, deren Sicherheitskontrollen nicht mit ihrem Missbrauchspotential Schritt halten. Für deutsche Unternehmen stellt die Kampagne ein erhebliches Risiko dar, da Mobilgeräte oft Zugang zu Unternehmens-E-Mail, Single-Sign-On-Sitzungen und Authentifizierungscodes bieten. Die Vorfälle unterstreichen, dass mobile Social-Engineering-Angriffe deutlich effektiver sind als Email-Phishing und zeigen eine wachsende Vulnerabilität im deutschen Unternehmensumfeld, insbesondere bei BYOD-Richtlinien.

Die Kampagne, die im März 2025 begann und bis mindestens Januar 2026 aktiv blieb, zeigt ein hochorganisiertes Betrügernetzwerk mit drei unterschiedlichen Malware-Varianten. Jede Variante ist speziell auf die technischen Gegebenheiten regionaler Mobilfunkbetreiber zugeschnitten.

Die ausgeklügeltste Variante zielt auf malaysische Nutzer ab. Sie automatisiert den kompletten Abonnement-Prozess durch mehrere Techniken: WebView-Automation, JavaScript-Injection und die Interception von Einmal-Passwörtern (OTP). Besonders raffiniert ist die Ausnutzung von Googles SMS Retriever API – eigentlich ein Sicherheitsfeature zur automatischen OTP-Erkennung. Die Malware missbraucht diese, um Bestätigungscodes im Hintergrund abzufangen. Zudem deaktiviert sie die WLAN-Verbindung und erzwingt damit den Datenverkehr über das Mobilfunknetz – eine Voraussetzung für viele Carrier-Billing-Systeme. Die Ziele sind klar definiert: DiGi, Celcom, Maxis und U Mobile in Malaysia. Bei nicht-kompatiblen Betreibern zeigt die App einfach nur harmlose Webseiten an, um Verdacht zu vermeiden.

Die zweite Variante für Thailand-Nutzer kombiniert direkte SMS-Betrug mit Browser-Session-Hijacking. Sie sendet automatisch SMS an kostenpflichtige Service-Nummern, während eine Fake-Webseite das Opfer ablenkt. Im Hintergrund greifen versteckte WebViews auf Carrier-Billing-Portale zu, stehlen Session-Cookies und halten authentifizierte Sitzungen aufrecht.

Die dritte Variante integriert ein Echtzeit-Reportingsystem über Telegram. Die Betreiber erhalten sofort Meldungen über Installationen, Berechtigungen und erfolgreiche Betrügereien – inklusive Geräte-ID, Betreiber-Daten und Timestamps. So konnten sie präzise verfolgen, welche gefälschten App-Namen und Distributionskanäle die höchsten Erfolgsquoten brachten.

Experten warnen: Das Problem liegt nicht nur bei Nutzern, sondern in der mobilen Ökosystem-Architektur selbst. Google Play und alternative App-Stores haben Vettungsprozesse, die mit den Missbrauchsmöglichkeiten nicht Schritt halten. Sicherheitsverantwortliche in Unternehmen sollten App-Installationen auf offizielle Stores beschränken und auf starke MFA-Methoden verzichten – SMS-basierte OTPs sind längst kompromittiert. Verizon’s aktueller Bericht zeigt: Mobile-gestützte Social-Engineering-Attacken sind 40 Prozent wirksamer als Email-Phishing.

Ähnliche Artikel