Neue Android-Malware nutzt mehrschichtige Tarnung

Trend Micro hat eine neue mobile Malware für Android entdeckt, die eine mehrstufige Tarntechnik benutzt, um einer Erkennung durch Sicherheitsanwendungen und Nutzer zu entgehen. Die FakeBank genannte Schadsoftware hat es auf Nutzer abgesehen, die Bankgeschäfte auf ihrem Smartphone erledigen. Derzeit ist sie vor allem in Russland aktiv.

FakeBank gibt sich häufig als SMS/MMS-App aus. Tatsächlich nutzt die Malware die damit verbundenen Funktionen, um sie gegen ihre Opfer einzusetzen. Sie fängt nämlich an Banking-Apps gerichtete SMS ab und ermöglicht dadurch ihren Hintermännern, Geld zu stehlen.

Zur Tarnung des Schadcodes nutzt die falsche SMS-App drei Methoden: Shell Protection ist laut Trend Micro eine gängige Technik, um Code zu verschleiern. Die Verschleierung sei aber auch leicht rückgängig zu machen, beispielsweise durch einen einfachen Memory Dump.

Systemaufrufe versteckten die Entwickler mit einer Reflection genannten Technik, die das Lesen des Codes erschwere. Zudem verschlüssele die Malware alle Strings inklusive Klassennamen und Funktionen. Im dritten Schritt packten die Entwickler den Code in eine Shared-Object-Datei (SO-Datei), was den Code flexibler macht. Wenn die Malware die SO-Datei lade, werde sie entschlüsselt und die Strings erst im Speicher generiert.

Zum Funktionsumfang der Malware gehört auch der Diebstahl von persönlichen Informationen wie Telefonnummern, einer Liste aller installierten Banking-Anwendungen, Kontoständen und Standortdaten. FakeBank prüft zudem, ob eine Antivirensoftware installiert ist. In dem Fall stellt die Malware jegliche Aktivitäten ein.

Darüber hinaus blockiert sie den Zugriff auf die Geräteeinstellungen, um eine Deinstallation zu erschweren. Einige Varianten – Trend Micro spricht von mehreren Tausend, die bisher in Umlauf gebracht wurden – versuchen, vom Nutzer Administratorrechte zu erlangen, was ihnen einen nahezu uneingeschränkten Zugriff auf ein Gerät ermöglicht.

In einem weiteren Schritt fordert die mutmaßliche SMS-App den Nutzer auf, sie als Standardanwendung für SMS einzurichten. Danach versteckt sie ihr Programm-Symbol. Außerdem ist sie dann in der Lage, jegliche SMS abzufangen oder gar zu löschen – darunter auch Benachrichtigungen einer Bank über mögliche ungewöhnliche Kontobewegungen.

Den Zugriff auf SMS nutzt die Malware jedoch in erster Linie, um mit erhaltenen Sicherheitscodes das Passwort des Kontos zurückzusetzen und so die Kontrolle über das Konto zu übernehmen. Da sie auch den Zugriff auf die legitime Banking-App sperre, sei der Nutzer auch nicht in der Lage, die Verknüpfung zwischen seiner Telefonnummer und seinem Konto aufzuheben.

79 Prozent der FakeBank-Infektionen registrierte Trend Micro in Russland. Auf China entfiel ein Anteil von 17 Prozent, auf die Ukraine 2 Prozent. Rumänien und Deutschland sind mit jeweils einem Prozent in der Statistik vertreten – alle anderen Länder haben einen Anteil von jeweils weniger als einem Prozent.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

6 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago