Der Angriff bösartiger Software bedroht digitale Finanzplattformen und Online-Speicher-Repositories.

Cybersicherheitsforscher haben vier aktive Familien von Android-Malware gefunden, die es auf über 800 Apps abgesehen haben, darunter Kryptowährungs-Wallets und Banking-Apps. Diese Malware verwendet Methoden, die die meisten herkömmlichen Sicherheitstools nicht erkennen können.

Das zLabs-Team von Zimperium veröffentlichte Ergebnisse zur Verfolgung der Trojaner RecruitRat, SaferRat, Astrinox und Massiv.

Den Untersuchungen des Unternehmens zufolge verfügt jede Familie über ein eigenes Befehls- und Kontrollnetzwerk, das sie nutzt, um Anmeldeinformationen zu stehlen, Finanztransaktionen zu übernehmen und Benutzerdaten von infizierten Geräten abzurufen.

Krypto- und Banking-Apps sind neuen Bedrohungen durch mehrere Schadprogramme ausgesetzt

Die Malware-Familien stellen eine direkte Bedrohung für jeden dar, der Kryptowährungen auf Android verwaltet.

Nach der Installation können die Trojaner gefälschte Anmeldebildschirme über echten Krypto- und Banking-Apps platzieren und so Passwörter und andere private Informationen in Echtzeit stehlen. Die Malware legt dann eine gefälschte HTML-Seite über die echte App-Oberfläche und schafft so eine „höchst überzeugende, trügerische Fassade“, wie das Unternehmen es nennt.

„Mithilfe von Accessibility Services zur Überwachung des Vordergrunds erkennt die Malware genau den Moment, in dem ein Opfer eine Finanzanwendung startet“, schreiben Sicherheitsforscher von Zimperium.

Dem Bericht zufolge können die Trojaner mehr als nur Zugangsdaten stehlen. Sie können auch Einmalpasswörter erfassen, den Bildschirm eines Geräts an Angreifer streamen, ihre eigenen App-Symbole ausblenden und Benutzer daran hindern, sie zu deinstallieren.

Jede Kampagne nutzt einen anderen Köder, um Menschen dazu zu bringen, darauf hereinzufallen.

SaferRat verbreitete sich über gefälschte Websites, die kostenlosen Zugang zu Premium-Streaming-Diensten versprachen. RecruitRat versteckte seine Nutzlast im Rahmen eines Bewerbungsprozesses und schickte die Opfer an Phishing-Seiten, die sie aufforderten, eine bösartige APK-Datei herunterzuladen.

Astrinox verwendete die gleiche rekrutierungsbasierte Methode und verwendete die Domain xhire[.]cc. Je nachdem, mit welchem ​​Gerät die Website besucht wurde, wurden unterschiedliche Inhalte angezeigt.

Android-Benutzer wurden aufgefordert, ein APK herunterzuladen, und iOS-Benutzer sahen eine Seite, die wie der Apple App Store aussah. Allerdings fanden Sicherheitsforscher keinen Beweis dafür, dass iOS tatsächlich gehackt wurde.

Es konnte nicht bestätigt werden, wie Massiv während des Forschungszyklus verteilt wurde.

Alle vier Trojaner nutzten Phishing-Infrastruktur, SMS-Betrug und Social Engineering, um das Bedürfnis der Menschen zu schnellem Handeln oder ihre Neugier auszunutzen, um sie dazu zu bringen, schädliche Apps querzuladen.

Krypto-Malware entgeht der Entdeckung

Die Kampagnen zielen darauf ab, Sicherheitstools zu umgehen.

Forscher fanden heraus, dass die Malware-Familien fortschrittliche Anti-Analysetechniken und strukturelle Manipulationen an Android-Anwendungspaketen (APKs) verwenden, um die „Erkennungsraten nahe Null gegenüber herkömmlichen signaturbasierten Sicherheitsmechanismen“ zu halten, wie das Unternehmen es nannte.

Auch die Netzwerkkommunikation vermischt sich mit dem regulären Datenverkehr. Die Trojaner nutzen HTTPS- und WebSocket-Verbindungen, um mit ihren Befehlsservern zu kommunizieren. Einige Versionen fügen zusätzlich zu diesen Verbindungen zusätzliche Verschlüsselungsebenen hinzu.

Ein weiterer wichtiger Punkt ist Beharrlichkeit. Moderne Android-Banking-Trojaner nutzen keine einfachen, einstufigen Infektionen mehr. Stattdessen verwenden sie mehrstufige Installationsprozesse, die das sich ändernde Berechtigungsmodell von Android umgehen sollen, das es für Apps schwieriger gemacht hat, Dinge ohne die ausdrückliche Erlaubnis des Benutzers zu tun.

Der Bericht identifizierte keine bestimmten Krypto-Wallets oder Börsen innerhalb der über 800 Zielanwendungen. Aufgrund von Overlay-Angriffen, dem Abfangen von Passcodes und Bildschirm-Streaming könnte jedoch jede Android-basierte Krypto-App gefährdet sein, wenn ein Benutzer eine bösartige APK von außerhalb des Google Play Store installiert.

Das Herunterladen von Apps über Links in Textnachrichten, Stellenausschreibungen oder Werbewebsites ist immer noch eine der garantierten Möglichkeiten für mobile Malware, in ein Smartphone einzudringen.

Personen, die ihre Kryptowährungen auf Android-Geräten verwalten, sollten nur offizielle App-Stores verwenden und sich vor Popup-Nachrichten hüten, die sie zum Herunterladen auffordern.