Sicher & Anonym

Vultur: Android-Trojaner späht Login-Daten für Bankkonten und E-Wallets aus

Die fernsteuerbare Malware Vultur für Android-Smartphones nutzt Funktionen zur Bildschirmaufzeichnung, um sensible Informationen auf Handys zu stehlen.

IT-Sicherheitsforscher der Amsterdamer Firma ThreatFabric haben einen bisher nicht dokumentierten Trojaner für Smartphones mit dem Betriebssystem Android entdeckt. Neu an der "Vultur" getauften Malware ist, dass sie Funktionen zur Bildschirmaufzeichnung verwendet, um sensible Informationen auf den betroffenen Mobiltelefonen auszuspähen.

Die Angreifer haben dabei bislang vor allem Login-Daten inklusive Passwörter fürs Online-Banking und für Krypto-Wallets zur Verwaltung von Bitcoin & Co. im Visier.

Inhalte aus der Ferne aufgezeichnet

Betroffen sind laut einem Bericht des Online-Magazins The Hacker News vor allem Nutzer in Italien, Australien und Spanien. ThreatFabric führt unter den ausgemachten Zielen der Aufzeichnungen unter anderem die Apps von Finanzhäusern wie ING, ABN Amro, HSBC, der italienischen Post- und Volksbank sowie Santander auf. Dazu kommen etwa spezielle Bitcoin-Wallets, Coinbase, Kraken und Crypto.com.

Bei Vultur handelt es sich um einen sogenannten Remote Access Trojan (RAT). Eine solche Schadsoftware wird in ein System eingeschleust, um es von außen fernzusteuern. Die Programmierer von Vultur setzten dabei auf Funktionen von Virtual Network Computing (VNC), mit denen sich Smartphones und andere IT-Geräte aus der Ferne steuern lassen. Hier geht es konkret um damit verknüpfte Möglichkeiten zum Teilen und Aufzeichnen von Inhalten, die aktuell auf dem Bildschirm des von außen gelenkten Systems zu sehen sind.

Verbreitung über den Google Play Store

Die Malware wurde laut ThreatFabric über den offiziellen Google Play Store verbreitet und als App namens "Protection Guard" getarnt. Diese sei bereits über 5000-mal installiert worden, sodass auch die Zahl der Opfer in diesem Größenbereich liegen dürfte.

"Zum ersten Mal sehen wir einen Android-Banking-Trojaner, dessen Hauptstrategie das Aufzeichnen von Bildschirminhalten und Keylogging ist, um auf automatisierte und skalierbare Weise Anmeldedaten abzugreifen", erklären die Sicherheitsexperten "Die Akteure haben sich gegen die übliche HTML-Overlay-Entwicklung entschieden", die normalerweise in solchem digitalen Ungeziefer zu sehen sei.

Effizient arbeitender Banking-Trojaner

Dieser etwa bei Schadsoftware wie MysteryBot, Grandoreiro, Banker.BR und Vizom zum Tragen kommende Ansatz erfordere in der Regel einen größeren Aufwand, erläutert die Firma. So müssten mehrere über die eigentliche Webseite gelegte und dieser täuschend ähnliche Vorlagen erstellt werden, mit denen der Benutzer getäuscht werden könne. Die Angreifer hätten sich stattdessen dafür entschieden, "einfach aufzuzeichnen, was auf dem Bildschirm angezeigt wird, um effektiv das gleiche Ergebnis zu erzielen".

Die Spyware haben die Forscher in leicht abgewandelter Form nach dem englischen Wort für "Geier" benannt. "Genau wie diese großen Vögel beobachtet dieser Trojaner alles, was auf den Geräten passiert", erklärten sie dazu. Per VNC werde versucht, alle persönlichen Informationen zu erhalten, mit denen sich im großen Stil Online-Betrug durchführen lasse. Dazu gehörten etwa auch Zugriffstoken.

Malware schützt sich selbst vor Deinstallation

Zusätzlich zu Bildschirmaufzeichnung und Keylogging nutzen die Cyberkriminellen ThreatFabric zufolge Dienste, um den Nutzer daran zu hindern, die Anwendung auf herkömmliche Weise vom Gerät zu löschen. Sobald der Nutzer über die Android-Einstellungen die Seite mit den Anwendungsdetails erreiche, klicke der Bot automatisch auf die Schaltfläche "Zurück". Der Anwender lande so wieder beim Hauptbildschirm für die Anpassungen, wodurch der Zugriff auf den Button zur Deinstallation verhindert werde.

Vultur nutzt ferner ngrok, ein plattformübergreifendes Dienstprogramm. Dieses dient dazu, lokale Server hinter Netzwerkadressübersetzungen und Firewalls über sichere Tunnel für das öffentliche Internet freizugeben, um einen Fernzugriff auf den lokal auf dem Handy laufenden VNC-Server zu ermöglichen. Darüber hinaus stellt die Malware Verbindungen zu einem Command-and-Control-Server (C2) her, um Befehle per Firebase Cloud Messaging (FCM) zu empfangen. Deren Ergebnisse werden dann einschließlich extrahierter Daten und Bildschirmaufnahmen zurück an den Server übertragen.

Zusammenarbeit mit Viren-Dropper "Brunhilda"

ThreatFabric bringt Vultur auch mit einer anderen bekannten Schadsoftware namens Brunhilda in Verbindung. Dabei handelt es sich um einen "Dropper", einen Virenverteiler, der den eigentlichen Schadcode aus dem Netz nachlädt oder verpackt. Brunhilda nutzt den Play Store, um verschiedene Arten von Malware in einem so genannten "Dropper-as-a-Service"-Vorgang (DaaS) zu verbreiten. Die Experten entdeckten hier Überschneidungen im Quellcode und der C2-Infrastruktur, die für Angriffe verwendet wird. Dies deute darauf hin, dass die Macher von Brunhilda Vultur als darauf aufbauendes Instrument entwickelt hätten.

Der Fall veranschaulicht laut ThreatFabric, dass Angreifer verstärkt vom Einsatz gemieteter Trojaner, die auf Untergrundmärkten als "Malware-as-a-Service" (MaaS) angeboten werden, zu proprietärer, eigener Malware wechseln. Letztere werde direkt auf die Bedürfnisse der Cybercrime-Gruppe zugeschnitten. Damit ausgeführte Angriffe seien skalierbar und könnten automatisiert erfolgen. Die nötigen Aktionen für das Durchführen von Betrug würden schon ins Backend der Schadsoftware einprogrammiert, sodass sie in Form einzelner Befehlssequenzen gesendet werden könnten.

Quelle: heise online Redaktion

Zurück

Diesen Beitrag teilen
oben