Vier Android-Bankentrojaner infizierten 2021 mehr als 300.000 Geräte

Vier Android-Bankentrojaner infizierten 2021 mehr als 300.000 Geräte

San Francisco, 2.12. 2021

Zwischen August und November 2021 infizierten vier verschiedene Android-Bankentrojaner mehr als 300.000 Geräte . Dabei nutzten sie mehrere Dropper-Apps, die sich als harmlose Dienstprogramme ausgaben, um danach die volle Kontrolle über die infizierten Geräte zu übernehmen.

Die Malware-Kampagnen, die Anatsa (auch bekannt als TeaBot), Alien, ERMAC und Hydra verbreiten sollen, sind laut dem Cybersecurity-Unternehmen ThreatFabric nicht nur raffinierter, sondern auch so konzipiert, dass sie nur einen kleinen bösartigen Fußabdruck hinterlassen, indem sie sicherstellen, dass die Nutzdaten nur auf Smartphones aus bestimmten Regionen installiert werden und verhindern, dass die Malware während des Veröffentlichungsprozesses heruntergeladen wird.

Einmal installiert, können diese Banking-Trojaner heimlich Passwörter und SMS-basierte Zwei-Faktor-Authentifizierungscodes, Tastatureingaben und Screenshots abfangen und sogar die Bankkonten der Nutzer ohne deren Wissen mit Hilfe eines Tools namens Automatic Transfer System (ATS) leerräumen. Die Apps wurden inzwischen aus dem Play Store entfernt.

Die Liste der bösartigen Dropper-Apps:

– Zweifaktor-Authentifikator (com.flowdivison)

– Protection Guard (com.protectionguard.app)

– QR CreatorScanner (com.ready.qrscanner.mix)

– Master Scanner Live (com.multifuction.combine.qr)

– QR-Scanner 2021 (com.qr.code.generate)

– QR-Scanner (com.qr.barqr.scangen)

– PDF-Dokumentenscanner – Scannen in PDF (com.xaviermuches.docscannerpro2)

– PDF-Dokumentenscanner kostenlos (com.doscanner.mobil – KryptoTracker (kryptolistapp.app.com.cryptotracker)

– Gym und Fitness Trainer (com.gym.trainer.jeux).

Während Google Anfang des Monats Beschränkungen eingeführt hat, um die Verwendung- und Zugriffsberechtigungen einzuschränken, die es bösartigen Apps ermöglichen, sensible Informationen von Android-Geräten abzufangen, verfeinern die Betreiber solcher Apps ihre Taktiken zunehmend mit anderen Mitteln, selbst wenn sie gezwungen sind, den traditionelleren Weg der Installation von Apps über den App-Marktplatz zu wählen.

Die wichtigste dieser Techniken ist das so genannte Versioning, bei dem zunächst saubere Versionen der Apps hochgeladen werden und die bösartigen Funktionen schrittweise in Form von nachfolgenden App-Updates eingeführt werden. Eine andere Taktik besteht darin, ähnlich aussehende Command-and-Control-Websites (C2) zu entwerfen, die dem Thema der Dropper-App entsprechen, um herkömmliche Erkennungsmethoden zu umgehen.

ThreatFabric entdeckte seit Juni 2021 sechs Anatsa-Dropper im Play Store. Die Apps sind so programmiert, dass sie ein „Update“ herunterladen, gefolgt von der Aufforderung an die Benutzer, dem Dropper Zugriffsrechte und die Erlaubnis zur Installation von Apps aus unbekannten Drittquellen zu erteilen.

Brunhilda, ein Bedrohungsakteur, der im Juli 2021 bei der Verbreitung eines Remote-Access-Trojaners namens Vultur entdeckt wurde, nutzte trojanisierte Apps, die sich als Apps zur Erstellung von QR-Codes ausgaben, um Hydra- und ERMAC-Malware zu verbreiten, die sich an Nutzer in den USA richtete, einem Markt, der zuvor nicht im Visier der beiden Malware-Familien stand.

Schließlich wurde eine Fitness-Training-Dropper-App mit über 10.000 Installationen unter dem Namen GymDrop gefunden, die den Alien-Bankentrojaner als „neues Paket mit Trainingsübungen“ tarnte, während die angeblich legitime Entwickler-Website gleichzeitig als C2-Server diente, um die für den Download der Malware erforderliche Konfiguration abzurufen.

„Um ihre Entdeckung zu erschweren, aktivieren die Akteure hinter diesen Dropper-Apps die Installation des Banking-Trojaners auf einem infizierten Gerät nur dann manuell, wenn sie weitere Opfer in einer bestimmten Region der Welt suchen“, so die Forscher. „Dies macht eine automatisierte Erkennung für jede Organisation sehr viel schwieriger.“