Ein neuer Malware-Betrug führt stillschweigend Abrechnungsbetrug durch und zielt dabei auf Benutzer basierend auf ihrem Mobilfunkanbieter und Standort ab. Die von der Cybersicherheitsgruppe Zimperium entdeckte Kampagne nutzte fast 250 Android-Apps, um sich als beliebte Spiele und Social-Media-Seiten auszugeben, darunter TikTok, Minecraft, Grand Theft Auto, Instagram Threads und Facebook Messenger. Nach dem Herunterladen berechneten sie ahnungslosen Benutzern zusätzliche Gebühren und meldeten sie bei automatisierten Abonnement-Engines an.
Das System nutzte fortschrittliche Techniken wie JavaScript-Injection, das Abfangen von Einmalkennwörtern und WebView-Automatisierung, um Benachrichtigungen zu umgehen, Abonnements zu automatisieren, Betrügereien zu verfolgen und Daten zu exfiltrieren. Die Malware wurde in Malaysia, Rumänien, Thailand und Kroatien eingesetzt, las die SIM-Karten der Opfer und aktivierte sie nur für bestimmte Betreiber. Zimperium hat den Betrug erstmals im März 2025 entdeckt und ihn mindestens bis Januar 2026 verfolgt. Betroffene Benutzer können das GitHub-Repository von Zimperium auf Anzeichen einer Kompromittierung überprüfen. Noch ist unklar, wie die infizierten Anwendungen ihre Opfer fanden.
Laut Dark Reading besteht Google jedoch darauf, dass keines der 250 davon in seinem App Store verfügbar ist. Ein Google-Sprecher fügte hinzu: „Android-Benutzer werden durch Google Play Protect automatisch vor bekannten Versionen dieser Malware geschützt, das auf Android-Geräten mit Google Play Services standardmäßig aktiviert ist.“ Trotz dieser Behauptungen sagen Experten, dass der Angriff auf weitreichende Sicherheitsprobleme auf dem Markt hinweist. Bei einem Angriff im vergangenen Jahr verwandelten Hacker 150 Google Chrome-Erweiterungen in Viren und infizierten so mehr als 4,3 Millionen Browser. Und während Android-Benutzer Maßnahmen zum Schutz ihrer Sicherheit ergreifen können, erfordern Angriffe wie die von Zimperium entdeckten eine vollständige Überarbeitung des Anwendungssicherheits-Frameworks.
Drei Malware-Varianten, ein Ergebnis
Hacker nutzten drei Malware-Varianten, um Benutzer anzugreifen. Die erste nutzte eine „automatisierte Abonnement-Engine“, um Opfer ohne ihr Wissen für Premium-Abonnements anzumelden. Die heruntergeladene Malware ist die raffinierteste der drei und liest die SIM-Karte des Geräts, um hartcodierte Mobilfunkanbieter wie DiGi aus Malaysia anzugreifen. Um einer Entdeckung zu entgehen, zeigten die Anwendungen harmlose Webseiten an, wenn das Opfer nicht Teil der angegebenen Betreibernetzwerke war. Wenn die Opfer jedoch Teil eines hartcodierten Abrechnungsnetzwerks waren, setzte die Malware eine „clevere Social-Engineering-Taktik“ ein, um Benutzer zu der Annahme zu verleiten, sie würden ein Spielekonto authentifizieren.
Die App missbrauchte dann die SMS-Retriever-API von Google, um Passwörter abzufangen, bevor sie JavaScript-Befehle auf versteckten Webseiten einsetzte, um Premium-Inhalte über das Abrechnungsportal des Mobilfunkanbieters zu abonnieren. Eine zweite Variante richtete sich an Benutzer in Thailand über Premium-SMS-Nachrichten, mit denen sie Premium-Dienste abonnierten. Mithilfe eines mehrstufigen Systems zur Vermeidung einer Erkennung konnte Zimperium feststellen, dass die Malware den Benutzern scheinbar legitime Webseiten anzeigt, während „die Malware heimlich versteckte WebViews im Hintergrund lädt, um auf zusätzliche Abrechnungsportale des Mobilfunkanbieters zuzugreifen.“
Laut Zimperium verwendeten die Angreifer, die diese Malware-Variante einsetzten, auch eine „fortgeschrittene Technik zum Stehlen von Cookies“, um „authentifizierte Sitzungen mit dem Abrechnungssystem des Netzbetreibers aufrechtzuerhalten“. Eine dritte Version des Systems „kombiniert die SMS-Betrugsfunktionen früherer Varianten mit sofortiger Benachrichtigung an Angreifer per Telegram und gibt ihnen so Echtzeit-Einblick in erfolgreiche Infektionen.“ Die Integration eines Telegram-Kanals unterstreicht die Raffinesse von Angriffen und ermöglicht es Betrügern, Erfolgskennzahlen zu verfolgen und Abläufe zu optimieren.
Ein gezieltes Programm mit weitreichenden Auswirkungen
Das Programm war in der Auswahl seiner Ziele sehr spezifisch. Mehr als die Hälfte der Opfer der Betrüger nutzten malaysische SIM-Karten. Auf thailändische und rumänische Benutzer entfielen jeweils etwa 15 % der Angriffe des Betrugs, während auf Kroatien 1 % der Aktivitäten der Operation entfielen. In diesen vier Gerichtsbarkeiten wurden mindestens zehn Betreiber von der Malware angegriffen. In der Reihenfolge ihrer Verbreitung umfasst die Liste DiGi, Marxis, Celcom, U Mobile, Telekom, AIS, Orange, Vodafone, TrueMove H und dtac TriNet. Obwohl die Kampagne erstmals im März 2025 entdeckt wurde, erreichten sie im September 2025 ihren Höhepunkt. Obwohl die Kampagne zuletzt im Januar aktiv war, hebt der Bericht von Zimperium leider hervor, dass „Teile der Infrastruktur weiterhin betriebsbereit sind“.
Diese Angriffe können ein Zeichen weit verbreiteter Cybersicherheitsmängel sein. Die Manipulation von Funktionen legitimer Apps wie Googles SMS Retriever und Androids CookieManager API zeigt häufige Sicherheitslücken auf. Die KI-Forschungsingenieurin Vineeta Sangaraju sagte gegenüber Dark Reading: „Dies sind keine obskuren Angriffsflächen, es handelt sich um dokumentierte und weit verbreitete Plattformfunktionen, und die Kontrollen, die ihre Verwendung regeln, haben mit ihrem Missbrauchspotenzial nicht Schritt gehalten.“ Die Kampagne spiegelt auch die Schwierigkeit wider, App-Downloads zu kontrollieren, insbesondere wenn Benutzer Marktplätze von Drittanbietern nutzen.
Allerdings dringen infizierte Apps und Browsererweiterungen immer noch in legitime Stores ein. Im April 2026 entdeckten Cybersicherheitsforscher von Socket beispielsweise mehr als 100 Google Chrome-Erweiterungen, die die Browserdaten der Benutzer exfiltrierten. Obwohl Benutzer beim Herunterladen neuer Programme wachsam sein sollten, deutet das Fortbestehen dieser Probleme darauf hin, dass Unternehmen ihren Ansatz zur Marktsicherheit neu erfinden müssen.