Neue Android-Malware nutzt mehrschichtige Tarnung

Trend Micro hat eine neue mobile Malware für Android entdeckt, die eine mehrstufige Tarntechnik benutzt, um einer Erkennung durch Sicherheitsanwendungen und Nutzer zu entgehen. Die FakeBank genannte Schadsoftware hat es auf Nutzer abgesehen, die Bankgeschäfte auf ihrem Smartphone erledigen. Derzeit ist sie vor allem in Russland aktiv.

FakeBank gibt sich häufig als SMS/MMS-App aus. Tatsächlich nutzt die Malware die damit verbundenen Funktionen, um sie gegen ihre Opfer einzusetzen. Sie fängt nämlich an Banking-Apps gerichtete SMS ab und ermöglicht dadurch ihren Hintermännern, Geld zu stehlen.

Zur Tarnung des Schadcodes nutzt die falsche SMS-App drei Methoden: Shell Protection ist laut Trend Micro eine gängige Technik, um Code zu verschleiern. Die Verschleierung sei aber auch leicht rückgängig zu machen, beispielsweise durch einen einfachen Memory Dump.

Systemaufrufe versteckten die Entwickler mit einer Reflection genannten Technik, die das Lesen des Codes erschwere. Zudem verschlüssele die Malware alle Strings inklusive Klassennamen und Funktionen. Im dritten Schritt packten die Entwickler den Code in eine Shared-Object-Datei (SO-Datei), was den Code flexibler macht. Wenn die Malware die SO-Datei lade, werde sie entschlüsselt und die Strings erst im Speicher generiert.

Zum Funktionsumfang der Malware gehört auch der Diebstahl von persönlichen Informationen wie Telefonnummern, einer Liste aller installierten Banking-Anwendungen, Kontoständen und Standortdaten. FakeBank prüft zudem, ob eine Antivirensoftware installiert ist. In dem Fall stellt die Malware jegliche Aktivitäten ein.

Darüber hinaus blockiert sie den Zugriff auf die Geräteeinstellungen, um eine Deinstallation zu erschweren. Einige Varianten – Trend Micro spricht von mehreren Tausend, die bisher in Umlauf gebracht wurden – versuchen, vom Nutzer Administratorrechte zu erlangen, was ihnen einen nahezu uneingeschränkten Zugriff auf ein Gerät ermöglicht.

In einem weiteren Schritt fordert die mutmaßliche SMS-App den Nutzer auf, sie als Standardanwendung für SMS einzurichten. Danach versteckt sie ihr Programm-Symbol. Außerdem ist sie dann in der Lage, jegliche SMS abzufangen oder gar zu löschen – darunter auch Benachrichtigungen einer Bank über mögliche ungewöhnliche Kontobewegungen.

Den Zugriff auf SMS nutzt die Malware jedoch in erster Linie, um mit erhaltenen Sicherheitscodes das Passwort des Kontos zurückzusetzen und so die Kontrolle über das Konto zu übernehmen. Da sie auch den Zugriff auf die legitime Banking-App sperre, sei der Nutzer auch nicht in der Lage, die Verknüpfung zwischen seiner Telefonnummer und seinem Konto aufzuheben.

79 Prozent der FakeBank-Infektionen registrierte Trend Micro in Russland. Auf China entfiel ein Anteil von 17 Prozent, auf die Ukraine 2 Prozent. Rumänien und Deutschland sind mit jeweils einem Prozent in der Statistik vertreten – alle anderen Länder haben einen Anteil von jeweils weniger als einem Prozent.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de