Trend Micro hat eine neue mobile Malware für Android entdeckt, die eine mehrstufige Tarntechnik benutzt, um einer Erkennung durch Sicherheitsanwendungen und Nutzer zu entgehen. Die FakeBank genannte Schadsoftware hat es auf Nutzer abgesehen, die Bankgeschäfte auf ihrem Smartphone erledigen. Derzeit ist sie vor allem in Russland aktiv.
Zur Tarnung des Schadcodes nutzt die falsche SMS-App drei Methoden: Shell Protection ist laut Trend Micro eine gängige Technik, um Code zu verschleiern. Die Verschleierung sei aber auch leicht rückgängig zu machen, beispielsweise durch einen einfachen Memory Dump.
Systemaufrufe versteckten die Entwickler mit einer Reflection genannten Technik, die das Lesen des Codes erschwere. Zudem verschlüssele die Malware alle Strings inklusive Klassennamen und Funktionen. Im dritten Schritt packten die Entwickler den Code in eine Shared-Object-Datei (SO-Datei), was den Code flexibler macht. Wenn die Malware die SO-Datei lade, werde sie entschlüsselt und die Strings erst im Speicher generiert.
Zum Funktionsumfang der Malware gehört auch der Diebstahl von persönlichen Informationen wie Telefonnummern, einer Liste aller installierten Banking-Anwendungen, Kontoständen und Standortdaten. FakeBank prüft zudem, ob eine Antivirensoftware installiert ist. In dem Fall stellt die Malware jegliche Aktivitäten ein.
Darüber hinaus blockiert sie den Zugriff auf die Geräteeinstellungen, um eine Deinstallation zu erschweren. Einige Varianten – Trend Micro spricht von mehreren Tausend, die bisher in Umlauf gebracht wurden – versuchen, vom Nutzer Administratorrechte zu erlangen, was ihnen einen nahezu uneingeschränkten Zugriff auf ein Gerät ermöglicht.
In einem weiteren Schritt fordert die mutmaßliche SMS-App den Nutzer auf, sie als Standardanwendung für SMS einzurichten. Danach versteckt sie ihr Programm-Symbol. Außerdem ist sie dann in der Lage, jegliche SMS abzufangen oder gar zu löschen – darunter auch Benachrichtigungen einer Bank über mögliche ungewöhnliche Kontobewegungen.
Den Zugriff auf SMS nutzt die Malware jedoch in erster Linie, um mit erhaltenen Sicherheitscodes das Passwort des Kontos zurückzusetzen und so die Kontrolle über das Konto zu übernehmen. Da sie auch den Zugriff auf die legitime Banking-App sperre, sei der Nutzer auch nicht in der Lage, die Verknüpfung zwischen seiner Telefonnummer und seinem Konto aufzuheben.
79 Prozent der FakeBank-Infektionen registrierte Trend Micro in Russland. Auf China entfiel ein Anteil von 17 Prozent, auf die Ukraine 2 Prozent. Rumänien und Deutschland sind mit jeweils einem Prozent in der Statistik vertreten – alle anderen Länder haben einen Anteil von jeweils weniger als einem Prozent.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.