Eine neue Banking-Malware breitet sich gerade auf Android-Geräten aus. Sie nutzt den Quellcode der inzwischen funktionsuntüchtigen Malware Xerxes und eine noch älteren Variante namens LokiBot. Mit der Malware nehmen die Hacker Apps ins Visier, die in anderen Malware-Kampagnen bereits manipuliert wurden.
Eine neue Banking-Malware breitet sich gerade auf Android-Geräten aus. Sie nutzt den Quellcode der inzwischen funktionsuntüchtigen Malware Xerxes und eine noch älteren Variante namens LokiBot. Mit der Malware nehmen die Hacker Apps ins Visier, die in anderen Malware-Kampagnen bereits manipuliert wurden.
Betriebssysteme entwickeln sich ständig weiter, aber genau das tun auch Banking-Trojaner, die sich auf diesen Systemen einnisten möchten. Wenn Trojaner innerhalb von Apps versteckt werden, werden sie meist entdeckt, bevor Sie über offizielle App Stores verbreitet werden können. Deshalb bieten Cyberkriminelle sie meist über inoffizielle App Stores und zwielichtige Websites an.
Wenn eine neue Android-Version veröffentlicht wird, funktioniert die alte Malware nicht mehr. Also tauchen neue Versionen auf, die meist auf altem Code aufbauen. Die aktuelle BlackRock-Variante z. B. nutzt Code-Elemente, die zum Teil 4 Jahre alt sind.
ThreatFabric hat untersucht, wie sich BlackRock verhält, wenn die Malware ein Gerät infiziert hat. Wie erwartet können sämtliche Daten manipuliert werden. „Wenn die Malware zum ersten Mal auf dem Gerät ausgeführt wird, versteckt Sie als erstes das App-Icon, damit der Benutzer sie nicht bemerkt“, so die Malware-Experten. „Als nächstes bittet die App den Benutzer, ihr Rechte für die Android-Bedienungshilfen zu gewähren. Häufig tarnt sie sich als Google-Update.“
Die Bedienungshilfefunktion unter Android hat einen völlig anderen Zweck, aber sie ist sehr umfassend und wird folglich oft von Malware-Autoren eingesetzt, um sich die nötigen Berechtigungen zu verschaffen.
BlackRock späht Kreditkartendaten und Banking-Passwörter aus
BlackRock kann SMS versenden, SMS-Kopien persönlicher E-Mails an Control-and-Command-Center versenden, Apps beim Hochfahren starten, Geräte dazu zwingen durchgehend den Startbildschirm anzuzeigen, ein Geräteadministratorenprofil für die App hinzuzufügen und Vieles mehr.
Da es sich um einen Banking-Trojaner handelt, wird er versuchen, Kreditkartendaten und Banking-Passwörter abzugreifen – entweder durch Form-Grabbing oder mit App-spezifischen Phishing-Overlays. Die Malware leitet den Benutzer zu lokal gespeicherten Dateien anstatt zur Online-Version, und im Anschluss werden die Daten an das C&C-Center übermittelt.
Viele Apps, die von der Malware infiziert werden, haben mit Finanzen gar nichts zu tun, sondern sind Social-Media-, Kurznachrichten- oder Dating-Apps. Hier können viele Daten abgegriffen werden, die wiederum in anderen Kampagnen nützlich sein können. Unter den anvisierten Zielen sind hauptsächlich europäische Banken und Benutzer, gefolgt von australischen und nordamerikanischen.
Mehr dazu im Blog bei Bitdefender.com
Über Bitdefender Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de