Veröffentlicht inDigital Life

Gruselige neue Betrugsmasche: Hinter diesem Vorgehen könnten Android-Mitarbeiter stecken

Dana Neumann von Dana Neumann

Sicherheitsforschende sind auf eine Praxis gestossen, die ahnungslose Menschen um ihr Geld bringen soll. Vermutet werden dahinter unter anderem professionelle Entwickler*innen.

unbekannter anrufer am Telefon
© Christian Horz - stock.adobe.com

Android 13: Das kann das neue Betriebssystem! // IMTEST

Neues Design, frische Features, besserer Datenschutz: Suchmaschinen-Riese Google hat mit Android 13 sein neuestes Betriebssystem für Smartphones und Tablets veröffentlicht. IMTEST hat alle Infos.

Immer wieder versuchen Kriminelle auf neue Art und möglichst effizient Betrug zu begehen. Mit „Letscall“ hat man nun in Südkorea eine komplexe Masche entwickelt, die sich Fachleuten des Sicherheitsunternehmens Threatfabric zufolge auch leicht in Europa anwenden ließe.

Neuer Betrug: So stehlen Kriminelle jetzt Geld

Grundlage des neuen Betrugs ist sogenanntes Vishing, also Voice-over-IP-Phishing (VOIP-Phishing). Die Methode ist laut Threatfabric in den vergangenen Jahren so populär geworden, dass es das Vertrauen in Anrufe von unbekannten Nummern untergraben hat. Ganz aktuell zielen Kriminelle damit auf Personen aus Südkorea.

So ist man bei der täglichen Jagd nach Sicherheitsrisiken auf eine bisher unbekannte Gruppe bösartiger Anwendungen gestoßen. Sie sollen jenen ähneln, die bereits von Kaspersky gemeldet wurden. Diese ermöglichen Anrufe von Personen, die sich als Bankangestellte ausgeben.

Die Gruppe der Akteure, die hinter diesen Kampagnen steht, bezeichnet ihr Toolset als „Letscall“. Dabei handelt sich um ein gebrauchsfertiges Werkzeug, das von jeder und jedem verwendet werden könnte, weil es alle Anweisungen und Mittel umfasst, wie die betroffenen Geräte zu bedienen sind und wie man mit den Opfern kommuniziert. Technisch gesehen hindert also nichts daran, den Betrug auch auf die Länder der Europäischen Union auszuweiten.

Stecken Android-Mitarbeiter*innen dahinter?

Hinter der Gruppe vermutet man professionelle Personen, zu denen auch Entwicklerinnen und Entwickler des Google Betriebssystems zählen könnten. Im Detail gehen die Sicherheitsforschenden von den folgenden Möglichkeiten aus:

  • Android-Entwickler*innen, die mit dem modernen Konzept des VOIP-Verkehrsroutings vertraut sind.
  • Designer*innen, die für Webseiten, Icons und den Inhalt der Administrationsoberfläche, Phishing-Webseiten und mobile bösartige Anwendungen verantwortlich sind.
  • Frontend-Entwickler*innen, die mit der JavaScript-Entwicklung einschließlich der Verarbeitung von VOIP-Verkehr vertraut sind.
  • Backend-Entwickler*innen, die mit Techniken zum Schutz der Backend-API vor unberechtigtem Zugriff vertraut sind.
  • Call-Operator*innen mit Kenntnissen im Bereich Voice-Social-Engineering-Angriffe, die verschiedene Sprachen fließend sprechen können.

Das ist die Masche hinter dem Betrug

Um den Betrug ausführen zu können, locken die Kriminellen das Opfer zunächst auf eine speziell gestaltete Phishing-Webseite, die wie der Google Play Store aussieht. Von dieser Seite lädt das Opfer die erste Stufe der Kette der bösartigen Anwendungen herunter. Insgesamt gibt es mehrere Schritte:

  • Die genannte erste Stufe führt Vorbereitungen auf dem Gerät aus, erhält die erforderlichen Berechtigungen, öffnet die Phishing-Webseite und installiert die Malware der zweiten Stufe, die vom Kontrollserver heruntergeladen wird.
  • Bei der zweiten Stufe handelt es sich um eine leistungsstarke Spyware-Anwendung, die dem Angreifer dabei hilft, Daten zu exfiltrieren und das infizierte Gerät in das Netzwerk einzubinden, das zur Kommunikation mit dem Opfer über Video- oder Sprachanrufe genutzt wird. Diese Anwendung hinterlässt auch eine dritte Stufe, das nächste Glied in der Kette.
  • Die dritte Stufe ist eine Begleitanwendung für die Malware der zweiten Stufe und erweitert einige Funktionen: Sie enthält eine Telefonanruffunktion, mit der der Anruf vom Gerät des Opfers an das Callcenter des Angreifers weitergeleitet wird.

Ist all diese Vorbereitung abgeschlossen, beginnt der eigentliche Betrug. Dann nämlich beantragen die Kriminellen Mikrokredite mit den gesammelten Daten ihrer Opfer. Fallen die ungewöhnlichen Bankbewegungen auf, ruft man das Opfer an und gibt sich als Bankangestellte*r aus, um zu beruhigen.

Aber auch, wenn die Kontaktaufnahme zur Bank vom Opfer ausgeht, führt eine über die Schadsoftware eingerichtete Rufumleitung direkt zu den Betrügerinnen und Betrügern. Dadurch suggeriert man Authentizität und kann gegebenenfalls noch weitere für Geldtransfers nützliche Informationen stehlen.

Quellen: Threatfabric, Kaspersky

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.