Gut getarnte Apps
Schon wieder sind im Google Play Store getarnte Banken-Trojaner aufgetaucht. Erst kürzlich haben ESET-Experten 29 davon analysiert. Alle stammen aus einem Zeitraum zwischen August bis Anfang Oktober 2018. Die Banken-Trojaner tarnen sich als:
- Geräte-Optimierer
- Batterie-Manager
- Horoskop-Apps
Im Gegensatz zu den immer häufiger vorkommenden bösartigen Apps, die legitime Finanzinstitute nachahmen und gefälschte Eingabemasken zeigen, gehören die neu entdeckten Banken-Trojaner zu einer etwas höher entwickelten Spezies. Diese mobilen Banking-Trojaner warten mit komplexeren Funktionen auf und ihr Tarnmechanismus spielt eine viel größere Rolle.
Ferngesteuerte Trojaner
Die ferngesteuerten Trojaner sind in der Lage:
- Apps auf dem Gerät des Opfers anzugreifen
- maßgeschneiderte Phishing-Formulare zu erstellen
- SMS-Textnachrichten abzufangen und umzuleiten, um eine Zwei-Faktor-Authentifizierung zu umgehen
- Anrufprotokolle mitzulesen
- zusätzliche Apps auf dem Gerät zu installieren
Kriminelle Angreifer am Werk
Die schädlichen Apps wurden meist unter verschiedenen Entwicklernamen hochgeladen, aber Code-Ähnlichkeiten und ein gemeinsamer C&C-Server deuten darauf hin, dass die Trojaner-Apps das kriminelle Werk eines einzelnen Angreifers bzw. einer Gruppe sind.
Die 29 bösartigen Apps wurden aus dem offiziellen Android-Store entfernt, nachdem ESET und Verbündete die Verantwortlichen bei Google darauf hinwiesen. Bevor die Banken-Trojaner allerdings aus dem Verkehr gezogen werden konnten, installierten rund 30.000 Android-User die Schad-Apps.
Wie funktionieren die Banken-Trojaner?
Entweder zeigen die Trojaner-Apps nach dem Start eine Fehlermeldung an – Inkompatibilität mit dem Android-Gerät – worauf sie dann im Hintergrund verschwinden oder die Anwendungen erfüllen die angepriesene Funktionalität.
Alle 29 Trojaner-Apps tragen die verschlüsselte Payload in sich – unabhängig davon, was sie nach dem ersten Öffnen anzeigen. Die Nutzlast ist Base64 kodiert und dann mit Hilfe der RC4-Verschlüsselungsmethode und einem festkodierten Schlüssel verschlüsselt. Die erste Stufe der Malware-Aktivität ist ein Dropper, der zunächst nach einem Emulator oder einer Sandbox sucht. Ist das Resultat negativ, entschlüsselt und entpackt der Banken-Trojaner einen Loader und die Payload. Diese Nutzlast enthält die eigentliche Banking-Malware. Einige der analysierten Apps enthielten auch mehr als eine Stufe verschlüsselter Payload.
Letztendlich versucht die Malware eine auf dem Android-Gerät installierte Banking-App zu imitieren, eingehende SMS-Nachrichten abzufangen oder Nachrichten selbst zu versenden sowie zusätzliche Apps herunterzuladen und zu installieren.
Ein erstaunliches Feature ist das dynamische Nachahmen jeder auf dem kompromittierten Gerät installierten Anwendung. Der Banken-Trojaner ist in der Lage, HTML-Code einer bereits installierten App aufzurufen und so für sich anzupassen, dass beispielsweise Formularfelder mit eigenem Schadcode überdeckt werden. Das Opfer besitzt kaum eine Chance, die Kompromittierung aufzuspüren.
Wie schütze ich mich vor Banken-Trojanern?
Glücklicherweise besitzen die von ESET analysierten Banken-Trojaner keine ausgefeilten Persistenz-Mechanismen, sodass sie recht einfach vom Android- Gerät zu entfernen sind. Wer glaubt, einer der Apps zum Opfer gefallen zu sein, kann sie über die Einstellungen im Anwendungsmanager deinstallieren und löschen.
Wir empfehlen darüber hinaus die Umsatzübersicht des Bankkontos zu überprüfen sowie das Online-Banking Passwort bzw. den PIN zu ändern.
Außerdem helfen diese einfachen Tipps, Banken-Trojanern fern zu bleiben:
- Generell sind die angebotenen Apps im Google Play Store sicherer als anderswo. Schad-Apps werden umgehend entfernt.
- Vor dem Herunterladen sollten Bewertungen, Anzahl der Downloads und die Rezensionen gecheckt werden.
- Ein Blick in die eingeforderten Berechtigungen hilft eventuelle betrügerische Apps fernzuhalten.
- Das Android-Gerät sollte immer unter der aktuellsten Version laufen. Mobile Security Softwarelösungen gibt es auch für Android-Endgeräte. ESET-Produkte erkennen und blockieren die gefundenen Banken-Trojaner als Android/TrojanDropper.Agent.CIQ.
Weiterführende Links:
welivesecurity.com: Banken-Trojaner tauchen immer wieder im Google Play Store auf
