Trend Micro hat eine neue mobile Malware für Android entdeckt, die eine mehrstufige Tarntechnik benutzt, um einer Erkennung durch Sicherheitsanwendungen und Nutzer zu entgehen. Die FakeBank genannte Schadsoftware hat es auf Nutzer abgesehen, die Bankgeschäfte auf ihrem Smartphone erledigen. Derzeit ist sie vor allem in Russland aktiv.
Zur Tarnung des Schadcodes nutzt die falsche SMS-App drei Methoden: Shell Protection ist laut Trend Micro eine gängige Technik, um Code zu verschleiern. Die Verschleierung sei aber auch leicht rückgängig zu machen, beispielsweise durch einen einfachen Memory Dump.
Systemaufrufe versteckten die Entwickler mit einer Reflection genannten Technik, die das Lesen des Codes erschwere. Zudem verschlüssele die Malware alle Strings inklusive Klassennamen und Funktionen. Im dritten Schritt packten die Entwickler den Code in eine Shared-Object-Datei (SO-Datei), was den Code flexibler macht. Wenn die Malware die SO-Datei lade, werde sie entschlüsselt und die Strings erst im Speicher generiert.
Zum Funktionsumfang der Malware gehört auch der Diebstahl von persönlichen Informationen wie Telefonnummern, einer Liste aller installierten Banking-Anwendungen, Kontoständen und Standortdaten. FakeBank prüft zudem, ob eine Antivirensoftware installiert ist. In dem Fall stellt die Malware jegliche Aktivitäten ein.
Darüber hinaus blockiert sie den Zugriff auf die Geräteeinstellungen, um eine Deinstallation zu erschweren. Einige Varianten – Trend Micro spricht von mehreren Tausend, die bisher in Umlauf gebracht wurden – versuchen, vom Nutzer Administratorrechte zu erlangen, was ihnen einen nahezu uneingeschränkten Zugriff auf ein Gerät ermöglicht.
In einem weiteren Schritt fordert die mutmaßliche SMS-App den Nutzer auf, sie als Standardanwendung für SMS einzurichten. Danach versteckt sie ihr Programm-Symbol. Außerdem ist sie dann in der Lage, jegliche SMS abzufangen oder gar zu löschen – darunter auch Benachrichtigungen einer Bank über mögliche ungewöhnliche Kontobewegungen.
Den Zugriff auf SMS nutzt die Malware jedoch in erster Linie, um mit erhaltenen Sicherheitscodes das Passwort des Kontos zurückzusetzen und so die Kontrolle über das Konto zu übernehmen. Da sie auch den Zugriff auf die legitime Banking-App sperre, sei der Nutzer auch nicht in der Lage, die Verknüpfung zwischen seiner Telefonnummer und seinem Konto aufzuheben.
79 Prozent der FakeBank-Infektionen registrierte Trend Micro in Russland. Auf China entfiel ein Anteil von 17 Prozent, auf die Ukraine 2 Prozent. Rumänien und Deutschland sind mit jeweils einem Prozent in der Statistik vertreten – alle anderen Länder haben einen Anteil von jeweils weniger als einem Prozent.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
