ESET Research: Hamster Kombat-game misbruikt door cybercriminelen

De afgelopen maanden heeft het Telegram-klikspel Hamster Kombat de wereld van liefhebbers van cryptocurrency-spellen op zijn kop gezet. Zoals te verwachten was, heeft het succes van Hamster Kombat ook cybercriminelen gelokt, die al zijn begonnen met het inzetten van malware gericht op de spelers van het spel.  ESET Research heeft dreigingen ontdekt die het gemunt hebben op zowel Android- als Windows-gebruikers. ESET legt de risico's bloot van het proberen te verkrijgen van games en gerelateerde software van onofficiële bronnen. Ze vonden verschillende dreigingen in de vorm van op afstand aangestuurde Android-malware die wordt verspreid via een onofficieel Telegram-kanaal van Hamster Kombat, nep-app stores die ongewenste advertenties leveren en GitHub opslagplaatsen die de Lumma Stealer infostealer cryptors voor Windows-apparaten verspreiden, terwijl ze beweren automatiseringstools voor het spel aan te bieden. 

"Hoewel de gameplay, die voornamelijk bestaat uit het herhaaldelijk tikken op het scherm van je mobiele apparaat, vrij eenvoudig is, zijn spelers op zoek naar iets meer: de mogelijkheid om veel te verdienen zodra de makers van Hamster Kombat de beloofde nieuwe cryptocoin onthullen die aan het spel is gekoppeld. Helaas hebben we ontdekt dat cybercriminelen ook  willen profiteren van de populariteit van Hamster Kombat,” legt ESET-onderzoeker Lukáš Štefanko uit, die de Hamster Kombat-dreigingen ontdekte en analyseerde. 

Door het succes heeft het spel al talloze copycats aangetrokken die de naam en het pictogram kopiëren en vergelijkbare gameplay hebben. Gelukkig waren alle eerdere voorbeelden die ESET ontdekte niet kwaadaardig, maar deze waren wel bedoeld om geld te verdienen met in-app advertenties.

ESET heeft nu twee soorten dreigingen geïdentificeerd en geanalyseerd die gericht zijn op Android-gebruikers: een schadelijke app die de Android-spionagesoftware Ratel bevat en valse websites die zich voordoen als app store-interfaces en beweren dat Hamster Kombat beschikbaar is om te downloaden. ESET-onderzoekers vonden een Telegram-kanaal dat Android-spyware met de naam Ratel verspreidt, vermomd als Hamster Kombat. Deze malware is in staat om meldingen te stelen en SMS-berichten te versturen. De beheerders van de malware gebruiken deze functionaliteit om abonnementen en diensten te betalen met het geld van het slachtoffer, zonder dat het slachtoffer het merkt. Bij het opstarten vraagt de app om toegang tot meldingen en om te worden ingesteld als de standaard SMS-toepassing. Zodra deze rechten zijn verleend, krijgt de malware toegang tot alle sms-berichten en kan het alle weergegeven meldingen onderscheppen. 

Hoewel Hamster Kombat een mobiel spel is, vond ESET ook malware die de naam van het spel misbruikt om zich op Windows te verspreiden. Cybercriminelen proberen Windows-gebruikers te verleiden met hulptools die beweren het maximaliseren van in-game winsten makkelijker te maken voor spelers. Onderzoek van ESET onthulde GitHub opslagplaatsen die Hamster Kombat farm bots en auto-clickers aanbieden, wat tools zijn die klikken in een spel automatiseren. Deze opslagplaatsen bleken de beruchte Lumma Stealer te verbergen. De GitHub opslagplaatsen die we vonden hadden de malware direct beschikbaar in de release bestanden of bevatten links om het te downloaden van externe file-sharing services. ESET identificeerde drie verschillende versies van Lumma Stealers die op de loer lagen in de opslagplaatsen. 

Lumma Stealer is een infostealer die wordt aangeboden als malware-as-a-service en kan worden gekocht op het dark web en op Telegram. Deze malware, die voor het eerst werd waargenomen in 2022, wordt vaak verspreid via illegale software en spam en is gericht op cryptocurrency-portefeuilles, gebruikersgegevens, browser-extensies voor twee-factorauthenticatie en andere gevoelige informatie. In dit onderzoek wordt niet ingegaan op de mogelijkheden van Lumma Stealer, omdat de focus ligt op de cryptors die deze infostealer afleveren en niet op de infostealer zelf. 

“De populariteit van Hamster Kombat maakt het spel geschikt voor misbruik, wat betekent dat het zeer waarschijnlijk is dat het spel in de toekomst meer kwaadwillende zal aantrekken,” concludeert Štefanko.

Lees voor meer technische informatie over Hamster Kombat-gerelateerde dreigingen de blogpost “The tapestry of threats targeting Hamster Kombat players” op WeLiveSecurity.com.