Eine ausgefuchste Methode macht in südostasiatischen Staaten die Runde: Über ein kompromittiertes Smartphone greifen automatisierte Systeme das Kamerabild ab, um es in einer virtuellen Homebanking-Anmeldung zur Authentifizierung zu verwenden. Davon berichtet die Sicherheitsanalyse-Firma "Group-IB". Den Ursprung der "GoldFactory" getauften Gruppe vermuten sie in China. Die meisten Opfer sind in Vietnam und Thailand aufzufinden. Es handelt sich um die vierte Version des Trojaners, der seit Juni 2023 genutzt wird – sie befällt erstmals iPhones.


Die App, die dafür zum Einsatz kommt, ist nur ein kleiner Teil eines umfangreichen Betrugsszenarios, das ein wenig an den Enkeltrick erinnert. Über verschiedene Kommunikationskanäle nahmen Betrüger Kontakt zu Smartphone-Nutzern auf. Sie gaben sich als Regierungsbeamte aus und versuchten, Anwender zur Installation einer App namens "Digital Pension" zu bewegen. Damit sollte es leichter fallen, die Rente vom Smartphone abzurufen. Andere versprachen Steuererleichterungen auf die Stromrechnung. Unter Android versenden die Kriminellen Links auf Play-Store-Faksimiles, um die Trojaner-Installation zu erleichtern.

iOS-Sicherheitsmaßnahmen erforderten neue Tricks
Aufgrund des App-Store-Zwangs war es den Betrügern nicht möglich, entsprechende Apps auf iPhones zu installieren. Stattdessen wendeten sie hierbei zwei Alternativen an. Anfangs nutzten sie Entwicklerversionen, die über Apples Beta-Plattform "Testflight" verteilten. Der Vorteil: Die versendeten Links begannen mit "https://testflight.apple.com" – das verlieh der Installation einen offiziellen Anstrich. Anscheinend konnte GoldFactory für kurze Zeit Apples Sicherheitsmechanismen überlisten: Group-IB protokollierte mehrere Fälle, bei der sich der eine Testflight-App namens "Digital Pensions" auf dem iPhone befand. Die Methode funktionierte nur kurz, denn auch Beta-Versionen durchlaufen App-Store-Kontrollen.

Installation über Firmenprofile
Kurz darauf wechselte GoldFactory offenbar die Methodik. Die Cybercrime-Abteilung der thailändischen Polizei beobachtete ab November 2023 mehrere Fälle, bei der MDM-Profile auf kompromittierten iPhones installiert waren. MDM steht für "Mobile Device Management"; es erlaubt Firmen, Behörden und Bildungseinrichtungen, die Geräte ihrer Organisation genau zu steuern. Über MDM lässt sich ein iOS-Gerät aus der Ferne aktualisieren, Administratoren können bestimmte Features deaktivieren – und Apps unabhängig vom iOS App Store installieren.


Traue keinem MDM, dass Du nicht selbst aufgesetzt hast
Bis ein solches MDM-Profil auf einem iPhone landet, muss der Anwender mehrere Warnungen aktiv bestätigen; anschließend wird das iOS-Gerät neu gestartet. Anscheinend gaben sich Anrufer als Mitarbeiter des staatlichen Finanzministeriums aus und schafften es so, mehrere iPhone-Nutzer dazu zu überreden, ein solches MDM-Profil zu installieren. So gelangte eine fingierte App auf das Anwender-iPhone, um die Kamera einzuschalten. Darüber konnten die Angreifer die biometrische Gesichtserkennung bestimmter lokaler Banking-Apps auf einem von ihren eigenen Geräten überlisten – und das Konto leerräumen. Die aufwendige Methode nutzt dabei keine Sicherheitslücke aus, sondern ist eher dem "Social Engineering" zuzuordnen: Es bedarf ziemlich viel Überzeugungsarbeit, um einen iPhone-Nutzer davon zu überzeugen, die mehrfachen Warnungen bei der Installation eines MDM-Profils zu ignorieren.