Voraussetzung dazu ist, der Benutzer muss die gefährliche Applikation installieren. Dazu wird der Trojaner als System-Update mit einer Desktop-Verbindung für eine beliebte Applikation verbreitet. Dabei kann eine beliebige Anwendung in Frage kommen. Nach der Installation platziert der Trojaner seine Desktop-Verbindung auf dem Hauptbildschirm. Diese kann auch mit einer Desktop-Verbindung einer Anwendung, die im System bereits installiert ist, verknüpft sein. Unerfahrene Benutzer können die beiden Desktop-Verbindungen schnell verwechseln und statt einer normalen Anwendung einen Trojaner starten. Wenn der Schädling durch den Benutzer jedoch nicht aktiviert wird, startet er bei jedem Systemstart von selbst.
Android.BankBot.34.origin ist faktisch in der Lage, auf einem infizierten Endgerät zwei Angriffsszenarien durchzuführen. Das erste Szenario ist direkt vom Benutzerverhalten abhängig und wird eingesetzt, wenn der Benutzer versucht die für Übeltäter relevante Anwendung zu starten. Nachdem der Endgerätebesitzer eine solche Applikation gestartet hat, zeigt Android.BankBot.34.origin ein Phishing-Fenster mit Feldern zur Eingabe von sensiblen Daten, u.a. Benutzername und Passwort, Telefonnummer oder Kreditkartendaten. Für jede Anwendung kann der Trojaner das entsprechende Formular erfolgreich imitieren. Auf diese Weise werden folgende mobile Applikationen attackiert:
Google Play
Google Play Music
Gmail
WhatsApp
Viber
Instagram
Skype
VKontakte
Odnoklassniki
Facebook
Twitter
Alle eingegebenen Daten werden so an den Verwaltungsserver übertragen.
Im zweiten Szenario kann der Trojaner Android.BankBot.34.origin auf Befehl vom Verwaltungsserver folgende Aktionen durchführen:
>> Das Abfangen von ein- und ausgehenden Kurznachrichten starten/abbrechen
>> USSD-Anfrage starten
>> Telefonnummern von z.B. Mobile-Banking-Systemen, Bezahlsystemen usw. in die Blacklist aufnehmen
>> Liste der gesperrten Telefonnummern leeren
>> Daten zu installierten Anwendungen an den Server übermitteln
>> Kurznachricht versenden
>> Malware-ID an den Server übermitteln
>> Dialogfenster mit einem vorgegebenen Text, Eingabefeldern usw. oder Mitteilung laut Parametern vom Verwaltungsserver anzeigen.
Bemerkenswert ist, dass die Adresse des Verwaltungsservers von Android.BankBot.34.origin dem anonymen Tor-Netzwerk zugewiesen ist. Der Verbindungsaufbau über ein geschütztes Protokoll ist durch den Code eines offiziellen Clients gewährleistet, der durch den Trojaner für die Verbindung zu einer Pseudodomain .onion verwendet wird. Eine solche Methode sorgt dafür, dass Malware-Autoren gut geschützt sind.
Android.BankBot.34.origin kann sich unbemerkt ins mobile Endgerät des Benutzers einschleusen und Kurznachrichten abfangen oder versenden. So können die Übeltäter den Schädling als Bankentrojaner einsetzen, um durch Befehle im Mobile-Banking-System Geld von Bankkonten der Benutzer zu stehlen. Auf diese Weise können die Übeltäter auch Geld vom mobilen Konto der Benutzer stehlen. Dabei kann ein beliebiger Mobilfunkanbieter angegriffen werden. Das höchste Risiko tragen Kunden von Banken und Zahlungssystemen, denen die Verwaltung ihrer Bankkonten via SMS angeboten wird.
Der Trojaner kann verschiedene Angriffe initiieren, u.a. Diebstahl von Benutzerdaten für den Zugriff auf ein Konto in sozialen Netzwerken, Anpassung von Benutzerdaten und Anzeige der Meldung "Ihr Benutzerkonto ist gesperrt. Um Ihr Benutzerkonto zu entsperren, überweisen Sie den entsprechenden Betrag an die Nummer 1234". Die Entwickler von Android.BankBot.34.origin können dem Trojaner auch befehlen, die Login-Seite im Online-Banking-System anzuzeigen, um den Zugriff auf Konten eines Opfers zu erhalten. Der Schädling stellt deshalb für Android-Benutzer eine ernsthafte Gefahr dar.
Um die Infizierung von Endgeräten durch den Trojaner zu vermeiden, empfehlen die Sicherheitsanalysten von Doctor Web, verdächtige Anwendungen und Quellen (außer Google Play) zu ignorieren.
Die Virensignatur für Android.BankBot.34.origin wurde in die Dr.Web Virendatenbank eingetragen. Die Benutzer von Dr.Web Antivirus für Android und Dr.Web Antivirus für Android Light sind daher gegen diesen Trojaner zuverlässig geschützt.
Android.BankBot.34.origin ist faktisch in der Lage, auf einem infizierten Endgerät zwei Angriffsszenarien durchzuführen. Das erste Szenario ist direkt vom Benutzerverhalten abhängig und wird eingesetzt, wenn der Benutzer versucht die für Übeltäter relevante Anwendung zu starten. Nachdem der Endgerätebesitzer eine solche Applikation gestartet hat, zeigt Android.BankBot.34.origin ein Phishing-Fenster mit Feldern zur Eingabe von sensiblen Daten, u.a. Benutzername und Passwort, Telefonnummer oder Kreditkartendaten. Für jede Anwendung kann der Trojaner das entsprechende Formular erfolgreich imitieren. Auf diese Weise werden folgende mobile Applikationen attackiert:
Google Play
Google Play Music
Gmail
Viber
Skype
VKontakte
Odnoklassniki
Alle eingegebenen Daten werden so an den Verwaltungsserver übertragen.
Im zweiten Szenario kann der Trojaner Android.BankBot.34.origin auf Befehl vom Verwaltungsserver folgende Aktionen durchführen:
>> Das Abfangen von ein- und ausgehenden Kurznachrichten starten/abbrechen
>> USSD-Anfrage starten
>> Telefonnummern von z.B. Mobile-Banking-Systemen, Bezahlsystemen usw. in die Blacklist aufnehmen
>> Liste der gesperrten Telefonnummern leeren
>> Daten zu installierten Anwendungen an den Server übermitteln
>> Kurznachricht versenden
>> Malware-ID an den Server übermitteln
>> Dialogfenster mit einem vorgegebenen Text, Eingabefeldern usw. oder Mitteilung laut Parametern vom Verwaltungsserver anzeigen.
Bemerkenswert ist, dass die Adresse des Verwaltungsservers von Android.BankBot.34.origin dem anonymen Tor-Netzwerk zugewiesen ist. Der Verbindungsaufbau über ein geschütztes Protokoll ist durch den Code eines offiziellen Clients gewährleistet, der durch den Trojaner für die Verbindung zu einer Pseudodomain .onion verwendet wird. Eine solche Methode sorgt dafür, dass Malware-Autoren gut geschützt sind.
Android.BankBot.34.origin kann sich unbemerkt ins mobile Endgerät des Benutzers einschleusen und Kurznachrichten abfangen oder versenden. So können die Übeltäter den Schädling als Bankentrojaner einsetzen, um durch Befehle im Mobile-Banking-System Geld von Bankkonten der Benutzer zu stehlen. Auf diese Weise können die Übeltäter auch Geld vom mobilen Konto der Benutzer stehlen. Dabei kann ein beliebiger Mobilfunkanbieter angegriffen werden. Das höchste Risiko tragen Kunden von Banken und Zahlungssystemen, denen die Verwaltung ihrer Bankkonten via SMS angeboten wird.
Der Trojaner kann verschiedene Angriffe initiieren, u.a. Diebstahl von Benutzerdaten für den Zugriff auf ein Konto in sozialen Netzwerken, Anpassung von Benutzerdaten und Anzeige der Meldung "Ihr Benutzerkonto ist gesperrt. Um Ihr Benutzerkonto zu entsperren, überweisen Sie den entsprechenden Betrag an die Nummer 1234". Die Entwickler von Android.BankBot.34.origin können dem Trojaner auch befehlen, die Login-Seite im Online-Banking-System anzuzeigen, um den Zugriff auf Konten eines Opfers zu erhalten. Der Schädling stellt deshalb für Android-Benutzer eine ernsthafte Gefahr dar.
Um die Infizierung von Endgeräten durch den Trojaner zu vermeiden, empfehlen die Sicherheitsanalysten von Doctor Web, verdächtige Anwendungen und Quellen (außer Google Play) zu ignorieren.
Die Virensignatur für Android.BankBot.34.origin wurde in die Dr.Web Virendatenbank eingetragen. Die Benutzer von Dr.Web Antivirus für Android und Dr.Web Antivirus für Android Light sind daher gegen diesen Trojaner zuverlässig geschützt.
