Kombination von Phishing und Ransomware
Wie Palo Alto herausfand wird einerseits versucht mittels Phishing an Bankdaten und Kreditkarteninformationen der adressierten Opfer zu gelangen. Dazu imitiert die Pishing-Seite die Zahlungsschnittstelle von Google Play sowie die Login-Seiten von sieben verschiedenen Banken. Xbot kann aber auch aus der Ferne infizierte Android-Geräte sperren. Der Trojaner agiert somit auch als Ransomware, wobei er Benutzerdateien in externen Speichern (beispielsweise SD-Karte) verschlüsselt – und dann via PayPal 100 US-Dollar Lösegeld verlangt. Darüber hinaus stiehlt Xbot alle SMS-Nachrichten und Kontaktinformationen und fängt speziell SMS-Nachrichten für mTANs (mobile Transaktions-Authentifizierungs-Nummern) von Banken ab.
Die Autoren haben den Trojaner Xbot so aufgebaut, dass eine einfache Erweiterung möglich ist, um künftig weitere Android-Apps anzugreifen und bald Android-Nutzer auf der ganzen Welt zu bedrohen. Wie es heißt verwendet Xbot die beliebte Angriffstechnik „Activity Hijacking“. Dazu werden einige Features in Android missbraucht. Beginnend mit Android 5.0 hat Google einen Schutzmechanismus entworfen, um diesen Angriff zu verhindern, aber von anderen Angriffsmethoden, die Xbot verwendet, sind weiterhin alle Versionen von Android betroffen.
Xbot Nachfolger von Android-Trojaners Aulrin?
Unit 42, das Malware-Analyseteam von Palo Alto Networks, ist der Ansicht, dass Xbot ein Nachfolger des Android-Trojaners Aulrin ist, der erstmals im Jahr 2014 entdeckt wurde. So weist Aulrin sehr ähnliche Codestrukturen und Verhaltensweisen auf und einige Ressourcendateien in Aulrin sind auch in Samples von Xbot enthalten. Der Hauptunterschied zwischen ihnen ist, dass Xbot zur Implementierung seiner Verhaltensweisen JavaScript durch Mozillas Rhino Framework nutzt, während Aulrin auf Lua und das .NET Framework zurückgreift.
Das früheste Sample von Xbot, das Unit 42 gefunden hat, ist im Mai 2015 erstellt worden. Xbot ist jedoch komplexer als sein Vorgänger. Die neuesten Versionen verwenden sogar Dexguard, ein legitimes Werkzeug, um eigentlich Android Apps vor Reverse Engineering oder Manipulation zu schützen.
Kommt Xbot aus Russland?
Zahlreiche Anzeichen deuten darauf hin, dass Xbot russischer Herkunft ist. Die früheren Versionen von Xbot zeigen eine gefälschte Benachrichtigung in Russisch für Google Play Phishing, es gibt russische Kommentare im JavaScript-Code, und die identifizierten Domains werden über einen russischen Registrierungsdienst betrieben. Während neuere Versionen Englisch für Benachrichtigungen verwenden, wurde die Sprache an anderer Stelle nicht geändert. Xbot weist auch einige zusätzliche Funktionen auf. So werden die Namen und Telefonnummern aller Kontakte sowie alle neuen SMS gesammelt und zu seinem C2-Server hochgeladen. In einigen Samples hat Unit 42 festgestellt, dass Xbot auch spezifische SMS-Nachrichten abfängt und analysiert.
Palo Alto Networks schützt Kunden
Kunden von Palo Alto Networks sind durch die WildFire-, URL-Filter- und IPS-Dienste des Sicherheitsunternehmens geschützt. Palo Alto Networks hat auch ein eigenes Tag in der Analyse-Cloud AutoFocus erstellt, um diese Familie und ihre Varianten zu identifizieren. Ebenso können Kunden von Palo Alto Networks unter der IPS-Signatur 13997 weitere Details über den C2-Verkehr von Xbot beziehen.
Weiterführende Links:
Lesen Sie dazu auch unsere informativen Beiträge:
Statt Porno Lösegeld: der Erpressungs-Trojaner Android.Lockdroid.E
Der Trojaner Android.BankBot.34.origin
Vorsicht App: Die neun wichtigsten Tipps für mehr Kontrolle und Schutz der persönlichen Daten
