Malware mit mehrstufiger Tarntechnik
Trend Micro hat eine neue mobile Malware für Android entdeckt, die eine mehrstufige Tarntechnik benutzt, um einer Erkennung durch Sicherheitsanwendungen und Nutzer zu entgehen, wie zdnet.de dazu berichtete. Von Fakebank werden Nutzer angegriffen, die per Smartphone Bankgeschäfte ausführen. Das trifft aktuell besonders für Nutzer in Russland zu.
Getarnt als SMS/MMS-App nutzt die Malware die damit verbundenen Funktionen, um sie gegen ihre Opfer einzusetzen. Das geschieht, indem sie an Banking-Apps gerichtete SMS abfängt. Den Hintermännern gelingt es dann, auf diesem Wege ihre Opfer zu bestehlen.
Schadcode ist gut getarnt
Wie die Sicherheitsforscher von Trend Micro analysierten nutzt die falsche SMS-App drei Methoden: Shell Protection ist laut Trend Micro eine gängige Technik, um Code zu verschleiern. Die Verschleierung sei aber auch leicht rückgängig zu machen, beispielsweise durch einen einfachen Memory Dump.
Systemaufrufe versteckten die Entwickler mit einer Reflection genannten Technik, die das Lesen des Codes erschwere. Zudem verschlüssele die Malware alle Strings inklusive Klassennamen und Funktionen. Im dritten Schritt packten die Entwickler den Code in eine Shared-Object-Datei (SO-Datei), was den Code flexibler macht. Wenn die Malware die SO-Datei lade, werde sie entschlüsselt und die Strings erst im Speicher generiert.
Daneben verfügt die Malware über zahlreiche weitere Funktionen wie Diebstahl:
- von persönlichen Informationen wie Telefonnummern
- einer Liste aller installierten Banking-Anwendungen
- Kontoständen und Standortdaten.
FakeBank prüft zudem, ob eine Antivirensoftware installiert ist. In dem Fall stellt die Malware jegliche Aktivitäten ein. Sie blockiert den Zugriff auf die Geräteeinstellungen, um eine Deinstallation zu erschweren. Bei einigen Varianten soll den Forschern zu Folge auch die Erlangung der Administratorrechte möglich sein, was den Hintermännern ermöglicht, einen nahezu uneingeschränkten Zugriff auf ein Gerät zu erlangen.
SMS-App erschleicht sich Standardanwendung
Die mutmaßliche SMS-App fordert den betroffenen Nutzer auf, sie als Standardanwendung für SMS einzurichten. Danach versteckt sie ihr Programm-Symbol. Außerdem ist sie dann in der Lage, jegliche SMS abzufangen oder gar zu löschen – darunter auch Benachrichtigungen einer Bank über mögliche ungewöhnliche Kontobewegungen.
Wie es weiter dazu heißt nutzt die Malware den Zugriff auf SMS, um mit erhaltenen Sicherheitscodes das Passwort des Kontos zurückzusetzen und so die Kontrolle über das Konto zu übernehmen. Da sie auch den Zugriff auf die legitime Banking-App sperre, sei der Nutzer auch nicht in der Lage, die Verknüpfung zwischen seiner Telefonnummer und seinem Konto aufzuheben.
Russland im Focus
79 Prozent der FakeBank-Infektionen registrierte Trend Micro in Russland. Auf China entfiel ein Anteil von 17 Prozent, auf die Ukraine 2 Prozent. Rumänien und Deutschland sind mit jeweils einem Prozent in der Statistik vertreten – alle anderen Länder haben einen Anteil von jeweils weniger als einem Prozent.
