[English]Sicherheitsforscher von threadfabric.com sind im Februar 2022 auf einen neuen Android-Banking-Trojaner gestoßen, der über den Google Play Store verbreitet wird und die Kunden von 56 europäische Banken im Visier hat. Eine infizierte Cleaner App wurde mehr als 50.000 Mal aus dem Play Store heruntergeladen.
Anzeige
Die Sicherheitsforscher von threadfabric.com tauften den Trojaner Xenomorph. Der Name kommt von seiner klaren Verbindung zu einem anderen berüchtigten Banking-Trojaner, Alien, von dem Xenomorph Klassennamen und interessante Zeichenfolgen übernimmt. Den gesammelten Informationen zufolge gehören Nutzer von 56 verschiedenen europäischen Banken zu den Zielen dieses neuen Android-Malware-Trojaners, der über den offiziellen Google Play Store verbreitet wird und mehr als 50.000 Installationen aufweist.
Fast Cleaner-App infiziert
Eine der mit dem Trojaner infizierten Anwendungen, die ThreatFabric entdeckte, gab sich als "Fast Cleaner" aus. Das ist eine App, die verspricht, das Gerät zu beschleunigen, indem sie ungenutzten Ballast entfernt und Blockaden zur Batterieoptimierung entfernt.
Die Anwendung selbst ist beim Upload in den Google Play Store sauber und konnte so erfolgreich in den Store eingestellt und dann verbreitet werden. Denn auf Google Play wurden mehr als 50.000 Installationen gemeldet. Dies ist nicht ungewöhnlich, da Malware-Familien wie Vultur und Alien durch solche Apps verbreitet werden. Die schädliche App lädt die Malware erst, nachdem sie auf dem Smartphone des Opfers installiert wurde.
Bei der Analyse haben die Sicherheitsforscher festgestellt, dass diese App eine Schadroutine beinhaltet, die zur Gymdrop-Dropper-Familie gehört. Das ist eine Dropper-Familie, die im November 2021 von ThreatFabric entdeckt wurde. Der Dropper kann dann weitere Malware nachladen und so das Smartphone infizieren. Die Sicherheitsforscher haben erstmals Malware-Infektionen beobachtet, die zu einer neuen Welle von ExobotCompact.D-Trojanern gehören. Anhand der vom Dropper heruntergeladenen Konfiguration konnte ThreatFabric bestätigen, dass diese Dropper-Familie weiterhin diese Malware-Familie als Nutzlast einsetzt. Im Gegensatz zu früher enthielt der Server, auf dem der bösartige Code gehostet wurde, jedoch auch zwei andere Malware-Familien, die aufgrund bestimmter Auslöser ebenfalls anstelle von Alien ausgeliefert wurden.
Diese Android-Banking-Malware befindet sich noch in der Entwicklungsphase und unterstützt nur das Minimum an Funktionen, die für einen modernen Android-Bankentrojaner erforderlich sind. Die App fragt bei der Installation nach erweiterten Berechtigungen und nutzt diese zur Infektion des Geräts. Der nächste Schritt der App nach der Installation besteht darin, eine Liste der installierten Pakete auf dem kompromittierten Gerät zurückzusenden, damit die passenden Overlays nachgeladen werden können.
Damit lassen sich bereits Login-Daten und Einmalpasswörter, die zum Schutz von Bankkonten verwendet werden, stehlen. Wie viele andere Android-Banking-Trojaner setzt auch dieser Trojaner stark auf den Mechanismus des Overlay-Angriffs. Das Opfer soll dazu verleitet werden, persönliche Daten preiszugeben, die dann von Kriminellen für Betrugszwecke verwendet werden können. Wenn die Malware die Zugriffsrechte für die Dienste erlangt, die sie nach dem Start unbedingt anfordert, gewährt sie sich automatisch alle erforderlichen Berechtigungen und führt sich dann unbemerkt auf dem Gerät aus.
Anschließend kann der Banking-Trojaner Benachrichtigungen abfangen, Textnachrichten protokollieren und Injektionen verwenden, um Overlay-Angriffe durchzuführen. Die von Xenomorph zurückgesendete Liste der Overlay-Ziele enthält Banken aus Spanien, Portugal, Italien und Belgien sowie einige allgemeine Anwendungen wie E-Mail-Dienste und Kryptowährungs-Wallets. Threadfabrik hat eine detaillierte Analyse dieses Trojaners veröffentlicht.
Anzeige
2015
Banking auf dem Handy ist seit jeher ne dumme Idee!
Sag das den Banken
Absolut, jegliche Kontaktaufnahme zu den Banken über Android.
Aber es ist doch so bequem und die Banken sparen sich noch reicher…
Eigentlich alles gute Sachen, die nicht richtig abgesichert sind.
nutzt jemand von euch eine antivirus software auf android?
Ja, ich zB. Das mitgelieferte Avast.
Um Bedrohungen sicher abzuhalten, sind Antivirus-Apps in Android wohl eher ungeeignet. Ich setze bei Familienmitgliedern aber schon mal Bitdefender ein, um zu sehen, ob da was auf das Android-Gerät gekommen ist.
Damit man in den Google Play Store eine App einstellen darf, muss der Hersteller 30 Prozent Provision an Google bezahlen.
Google kennt also zumindest die Bankverbindung des Herstellers dieser Schadsoftweare und die Kriminalpolizei könnte damit dann die Identität des Schädlingsverbreiters feststellen.
Warum liest man nichts darüber, dass der Hersteller verhaftet oder dass dieses Konto gesperrt worden ist?
Gibt es da einen rechtsfreien Raum?
Sitzt der Hersteller in Nord-Korea oder in Russland?
sehr guter Einwand. Das interresiert mich auch…
Laut der Quelle handelt es sich bei den erfragten Rechten um die "Accessibility Services privileges". Das sind Rechte welche das Mitlesen und Mitschneiden von Elementen auf dem Bildschirm erlauben. Nicht grundlos kommt vom Android System ein Popup Fenster mit diesem Warnhinweis. Keiner App sollte man solche Rechte einräumen!
"The main attack vector for Xenomorph is the classic overlay attack powered by Accessibility Services privileges. Once the malware is up and running on a device, its background services receive accessibilty events whenever something new happens on the device."
Ja, diese Rechte wollen auch "Virenjäger" wie Avast haben. Die Banken haben ihre TAN- und Banking Apps so gestaltet, dass man normalerweise keinen Screenshot machen kann. Wer es abstellt, hat selber schuld!