Een Android-malwarecampagne genaamd MoneyMonger is verborgen gevonden in apps voor het lenen van geld die zijn ontwikkeld met Flutter. Het is symbolisch voor een opkomend tij van chantage-cybercriminelen die zich richten op consumenten - en hun werkgevers zullen ook de effecten voelen.
Volgens onderzoek van het Zimperium zLabs-team gebruikt de malware meerdere lagen van social engineering om te profiteren van zijn slachtoffers en stelt kwaadwillenden in staat om privรฉ-informatie van persoonlijke apparaten te stelen en die informatie vervolgens te gebruiken om individuen te chanteren.
De MoneyMonger-malware, verspreid via app-winkels van derden en sideloaded op de Android-apparaten van de slachtoffers, is vanaf de grond opgebouwd om kwaadaardig te zijn en gericht op mensen die snel geld nodig hebben, aldus Zimperium-onderzoekers. Het maakt gebruik van meerdere lagen van social engineering om te profiteren van zijn slachtoffers, te beginnen met een roofzuchtig leningschema en snel geld beloven aan degenen die een paar eenvoudige instructies volgen.
Tijdens het instellen van de app wordt het slachtoffer verteld dat er machtigingen nodig zijn op het mobiele eindpunt om ervoor te zorgen dat ze een goede reputatie hebben om een โโlening te ontvangen. Deze machtigingen worden vervolgens gebruikt om gegevens te verzamelen en te exfiltreren, waaronder uit de contactenlijst, GPS-locatiegegevens, een lijst met geรฏnstalleerde apps, geluidsopnamen, oproeplogboeken, sms-lijsten en opslag- en bestandslijsten. Het krijgt ook cameratoegang.
Deze gestolen informatie wordt gebruikt om slachtoffers te chanteren en te bedreigen om buitensporig hoge rentetarieven te betalen. Als het slachtoffer niet op tijd betaalt, en in sommige gevallen zelfs nadat de lening is terugbetaald, dreigen de kwaadwillende actoren informatie vrij te geven, mensen uit de contactenlijst te bellen en zelfs foto's vanaf het apparaat te sturen.
Een van de nieuwe en interessante dingen van deze malware is hoe het de Flutter-softwareontwikkelingskit gebruikt om schadelijke code te verbergen.
Terwijl de open source user interface (UI) software kit Flutter een game-wisselaar is geweest voor applicatie-ontwikkelaars, hebben kwaadwillende actoren ook geprofiteerd van de mogelijkheden en het raamwerk, waarbij apps met kritieke beveiligings- en privacyrisico's worden ingezet voor nietsvermoedende slachtoffers.
In dit geval maakt MoneyMonger gebruik van het framework van Flutter om kwaadaardige functies te verdoezelen en de detectie van kwaadaardige activiteiten door statische analyse te bemoeilijken, legden Zimperium-onderzoekers uit in een 15 december blogpost.
Risico voor ondernemingen komt voort uit een breed scala aan verzamelde gegevens
Richard Melick, directeur van mobiele dreigingsinformatie bij Zimperium, vertelt Dark Reading dat consumenten die geldleen-apps gebruiken het grootste risico lopen, maar door de aard van deze dreiging en hoe aanvallers gevoelige informatie stelen voor chantage, zetten ze ook hun werkgevers of andere organisaties ze werken ook met risico's.
"Het is heel gemakkelijk voor de aanvallers achter MoneyMonger om informatie te stelen van zakelijke e-mail, gedownloade bestanden, persoonlijke e-mails, telefoonnummers of andere zakelijke apps op de telefoon, en gebruiken deze om hun slachtoffers af te persen", zegt hij.
Melick zegt dat MoneyMonger een risico vormt voor individuen en bedrijven omdat het een breed scala aan gegevens van het apparaat van het slachtoffer verzamelt, inclusief mogelijk gevoelig bedrijfsgerelateerd materiaal en bedrijfseigen informatie.
"Elk apparaat dat is aangesloten op bedrijfsgegevens vormt een risico voor de onderneming als een werknemer het slachtoffer wordt van de oplichterij van MoneyMonger op dat apparaat", zegt hij. "Slachtoffers van deze roofzuchtige lening kunnen worden gedwongen om te stelen om de chantage te betalen of om de diefstal van kritieke bedrijfsgegevens door de kwaadwillende actoren achter de campagne niet te melden."
Melick zegt dat persoonlijke mobiele apparaten een aanzienlijk, ongeadresseerd aanvalsoppervlak vormen voor ondernemingen. Hij wijst erop dat malware tegen mobiel alleen maar geavanceerder wordt, en zonder de telemetrie van bedreigingen en kritieke verdediging om deze groeiende subgroep van kwaadaardige activiteiten het hoofd te bieden, lopen ondernemingen en hun werknemers gevaar.
"Het maakt niet uit of ze eigendom zijn van een bedrijf of deel uitmaken van een BYOD-strategie, de behoefte aan beveiliging is van cruciaal belang om MoneyMonger en andere geavanceerde bedreigingen voor te blijven", zegt hij. "Onderwijs is hier slechts een deel van de sleutel en technologie kan de hiaten opvullen, waardoor het risico en het aanvalsoppervlak van MoneyMonger en andere bedreigingen worden geminimaliseerd."
Het is ook belangrijk om te onthouden dat u het downloaden van apps uit niet-officiรซle app-winkels moet vermijden; Officiรซle winkels, zoals Google Play, bieden wel bescherming voor gebruikers, benadrukt een Google-woordvoerder tegen Dark Reading.
โGeen van de geรฏdentificeerde kwaadaardige apps in het rapport staat op Google Playโ, zei hij. โGoogle Play Protect controleert Android-apparaten met Google Play Services op mogelijk schadelijke apps van andere bronnen. Google Play Protect waarschuwt gebruikers die proberen apps te installeren of te starten waarvan is vastgesteld dat ze schadelijk zijn.โ
Heropleving van banktrojans
De MoneyMonger-malware volgt de heropleving van de Android-banktrojan SOVA, die nu beschikt over bijgewerkte mogelijkheden en een extra versie in ontwikkeling die een ransomware-module bevat.
Andere trojans voor bankieren zijn weer opgedoken met bijgewerkte functies om langs de beveiliging te schaatsen, waaronder Emotet, dat opnieuw opdook eerder deze zomer in een meer geavanceerde vorm na te zijn verwijderd door een gezamenlijke internationale taskforce in januari 2021.
Nokia's 2021 โBedreigingsinformatierapportโwaarschuwde dat bedreigingen met bankmalware sterk toenemen, aangezien cybercriminelen zich richten op de stijgende populariteit van mobiel bankieren op smartphones, met complotten gericht op het stelen van persoonlijke bankreferenties en creditcardgegevens.
Bedreigingen met afpersing zullen naar verwachting in 2023 aanhouden
Melick wijst erop dat chantage niet nieuw is voor kwaadwillende actoren, zoals is gebleken bij ransomware-aanvallen en datalekken op wereldwijde schaal.
"Het gebruik van chantage op zo'n persoonlijk niveau, gericht op individuele slachtoffers, is echter een beetje een nieuwe aanpak die een investering van personeel en tijd vergt", zegt hij. "Maar het werpt zijn vruchten af โโen op basis van het aantal beoordelingen en klachten rond MoneyMonger en andere soortgelijke roofzuchtige leningen, zal het alleen maar doorgaan."
Hij voorspelt dat de markt- en financiรซle omstandigheden sommige mensen wanhopig zullen maken op zoek naar manieren om rekeningen te betalen of aan extra geld te komen.
"Net zoals we tijdens de laatste recessie roofzuchtige leningen zagen opkomen", zegt hij, "is het bijna gegarandeerd dat we dit model van diefstal en chantage in 2023 zullen zien voortduren."
