Neue Variante des Banking-Trojaners Hydra zielt auf europäische (Commerzbank) Nutzer

[English]Kleiner Nachtrag von dieser Woche: Ende September 2021 hat der Sicherheitsanbieter Cyble Alarm geschlagen. Seine Sicherheitsspezialisten sind auf eine neue Variante des Banking-Trojaners Hydra gestoßen, die es gezielt auf europäische Nutzer abgesehen hat. Commerzbank-Kunden scheinen wohl eines dieser Ziele zu sein, denn denen wird beim Phishing gezielt ein Trojaner, getarnt als Commerzbank-App für Android untergeschoben.

Gerade in Zeiten der COVID-19-Pandemie sind die Menschen dazu gezwungen, verstärkt auf Online-Dienste zurückzugreifen. Bankgeschäfte lassen sich leicht online abwickeln. Das wissen jedoch auch Cyberkriminelle, die dies als Gelegenheit sehen, Nutzer ins Visier zu nehmen. In letzter Zeit haben Sicherheitsforscher eine Zunahme von Android-Banking-Trojanern beobachtet, die über verschiedene Kampagnen verbreitet werden.

Der Banking-Trojaners Hydra

Kürzlich sind die Sicherheitsforscher von Cyble auf mehrere Szenarien gestoßen, bei denen Cyberbetrüger es auf Bankkunden abgesehen haben. Nachfolgender Tweet des Malware-Hunter-Teams weckte die Aufmerksamkeit der Forscher.

Dort wird eine angebliche Commerzbank-App auf einer ominösen Domain zum Download angeboten – wobei es weitere ähnlich klingende Domains mit dem Schema kunden.commerzbank.de-xxx gibt. Das Ganze wurde mit einer Phishing-Kampagne begleitet, die auf die Commerzbank abzielte und die Download-Seiten des Trojaners verlinkten. Die Commerzbank Aktiengesellschaft mit Hauptsitz in Frankfurt am Main hat ja durchaus einen größeren Kundenstamm.

In obigem Tweet erwähnte der Forscher des Malware-Hunter-Teams, dass sich die Android-Malware über eine Seite verbreitet, die sich als offizielle Commerzbank-Seite ausgibt. Es wird auch hervorgehoben, dass der/die Bedrohungsakteur(e) (TA) mehrere Domains auf derselben IP registriert hat/haben und die gefälschte Website bösartige Apps verbreitet, die sich als CommerzBank-App ausgeben.

Die Sicherheitsforscher Cyble haben Beispiele der Android-APK-Apps dieser Phishing-Kampagne gesammelt und gründlich analysiert. Auf der Grundlage dieser Analyse lässt sich feststellen, dass es sich bei der als Android-App verbreiteten Malware um eine Variante von Hydra handelt. Das ist ein Android-Banking-Bot, der erstmals Anfang 2019 entdeckt wurde.

Die aktuelle Analyse hat zudem ergeben, dass Hydra neben dem Standardverhalten von Banking-Trojanern, wie dem Erstellen eines Overlays zum Stehlen von Anmeldedaten, weiter entwickelt wurde. Der Trojaner enthält jetzt TeamViewer-Funktionen, ähnlich wie die S.O.V.A.-Malware. Zudem verwendet der Trojaner verschiedene Verschlüsselungstechniken, um die Erkennung zu umgehen und setzt auf das Tor-Netzwerk zur Verschleierung der Kommunikation.

Das Cyble-Forschungsteam hat außerdem festgestellt, dass die Angreifer auch Varianten des HQwar Banking-Trojaner verteilt, die sich als mobile Anwendungen der Commerzbank ausgeben. Beim Starten der gefälschten App fordert die Hydra-Malware den Benutzer zunächst auf, die Zugriffsberechtigung zu aktivieren. Sobald diese Berechtigung aktiviert ist, aktiviert die Malware andere Berechtigungen wie die Geräteverwaltungsberechtigung, die Kontaktberechtigung usw. Es  wurde auch beobachtet, dass die Malware das Symbol der App nach dem Start auf der Android Startseite ausblendet.

Die Malware prüft zudem, ob es sich bei der Ausführungsumgebung um einen Emulator oder ein echtes Android-Gerät handelt, indem sie verschiedene Prüfungen vornimmt. Auf Android-Geräten missbraucht die Hydra-Malware die Funktionen der Eingabehilfen, um mehrere bösartige Aktivitäten durchzuführen:

• Sammeln von Benutzereingaben und Benutzerinteraktionen auf dem Bildschirm des Geräts.
• Aktivieren aller Berechtigungen ohne Benutzerinteraktion.
• Einschränkung der Möglichkeit für den Benutzer, die Funktionen der Malware über die Android Einstellungs-App zu ändern.
• Ausführen von TeamViewer-Funktionen mit Hilfe von Screencast-APIs und Accessibility Service.
• Stehlen der PIN für den Sperrbildschirm des Geräts beim Entsperren des Benutzers.
• Einschleusen von Werten in Felder für Benutzereingaben.

Bei der Analyse haben die Sicherheitsforscher zudem festgestellt, dass Hydra die TeamViewer-Funktionalität nutzt, indem es den Accessibility-Dienst missbraucht. Dann kann sich der Angreifer den Bildschirm des Android-Geräts anzeigen lassen und alle Aktivitäten verfolgen. Details lassen sich im Cyble-Blog-Beitrag nachlesen.

Die Empfehlung für Leute, die Online-Banking machen: Verzichtet auf die allfällig angepriesenen Banking-Apps für Smartphones, dass ist eine wandelnde Sicherheitslücke. Achtet darauf, nicht auf Phishing-Mails hereinzufallen und irgend etwas, was dort verlinkt wird, auf die Geräte herunterzuladen und zu installieren.

Die Sicherheitsforscher von Cyble haben zwar in ihrem Beitrag einige "Best practice"-Hinweise zusammengestellt, die meines Erachtens aber teilweise für die Tonne sind. Wer Malware auf dem Gerät findet, möge diese mit adb uninstall entfernen – welcher Normal-Nutzer kann das. Ein Werksreset, der empfohlen wird, wäre schon eher etwas für Normalnutzer – aber eine gewiefte Malware kriegt man damit nicht vom Smartphone – ich erinnere an den Gigaset-Fall zu Ostern 2021 (siehe Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones). Auch der Hinweis, bekannte Indicator of Compromises (share IoCs) zu nutzen, ist eine Binse – das beherrschen nur sehr OS-affine Nutzer. In das gleiche Boot würde ich die Binse verorten, die Apps und das Betriebssystem auf dem aktuellen Stand zu halten – bei Android hat der Benutzer das doch gar nicht in der Hand. Auch die Zweifaktorauthentifizierung dürfte bei Online-Bankkonten eher nicht wählbar sein – aber bei der Transaktionsverwaltung per TAN kann man beispielsweise mit einem separaten TAN-Generator (statt SMS-TAN oder Foto-TAN auf dem Smartphone) zusätzliche Sicherheit gewährleisten.