Categories: SicherheitVirus

Banking-Trojaner infiziert 800.000 Android-Geräte

Der Sicherheitsanbieter Avast hat in Zusammenarbeit mit der Czech Technical University und der Uncuyo Universität in Argentinien ein Botnet sowie die Aktivitäten eines Android-Banking-Trojaners aufgedeckt. Die als Geost bezeichneten Hintermänner sollen bis zu 800.000 Android-Geräte kompromittiert haben. Möglicherweise erbeuteten sie von jedem Gerät Zugangsdaten zu Bankkonten sowie Namen der Opfer, deren Standort und Bezeichnung ihrer Smartphones.

Die Kampagne war den Forschern zufolge mindestens seit 2016 aktiv. Die Cyberkriminellen begingen jedoch einige grundlegende Fehler, was es den Forschern schließlich erlaubte, ihr gesamtes Vorgehen zu überwachen, Chat-Logs mitzulesen und sogar die Identitäten von zwei Tatbeteiligten offenzulegen.

Auf die Spur der Täter kamen die Forscher bei der Untersuchung von Mustern einer HtBot genannten Malware, die eine pseudo-anonyme Kommunikation über das Internet erlaubt. Die Geost-Mitglieder versäumten es jedoch, ihre Kommunikation zu verschlüsseln, was die Aufmerksamkeit der Forscher erregte.

Auf Smartphones bringen die Kriminellen ihre Schadsoftware, indem sie legitime Apps nachahmen und schädliche Funktionen hinzufügen, bevor sie sie in Android-Marktplätzen von Drittanbietern veröffentlichen. Unter anderem kopierten sie Spiele, Banking- und Social-Networking-Apps.

Ihre Malware war vor allem in der Lage, Textnachrichten zu überwachen. Da vor allem russische Geldinstitute immer noch Passwörter im Klartext per SMS verschicken, wollten sich die Kriminellen so den Zugang zu Bankkonten verschaffen. Alternativ war die Schadsoftware aber auch in der Lage, Anmeldedaten der Banken abzufragen. „Manchmal nutzten sie Pop-ups auf dem Telefon, um nach Anmeldedaten zu fragen. Sobald sie die Daten hatten, gibt es keine Interaktion mehr auf dem Telefon“, sagte Sebastian Garcia, Forscher der Czech Technical University in Prag.

Bei der Überwachung der Gruppe fanden die Forscher auch heraus, dass die Hacker oft mit ihrer Arbeit unzufrieden waren – trotz des augenscheinlichen Erfolgs ihrer Operation. Ein Chat-Log offenbart beispielsweise eine Kommunikation, in der ein Mitglied versucht, das andere davon abzuhalten, die Gruppe zu verlassen.

Die Chat-Logs enthielten aber auch Details über finanzielle Transaktionen und die Entwicklung von Malware. Zudem tauchten immer wieder Nutzernamen von zwei Anführern der Geost-Gruppe auf. Diese Namen verwendeten sie offenbar auch auf anderen Websites.

Die Forscher gehen davon aus, dass die Gruppe immer noch aktiv ist und Zugriff auf ein riesiges Botnet von Android-Geräten hat. Ihre Malware sei zudem ein Beleg dafür, dass viele Kriminelle gerne auf Dinge zurückgriffen, die bereits vorhanden seien. „Sie wollen keine Jahre mit der Entwicklung verbringen – sie haben weder das Geld noch die Ressourcen dafür. Sie wollen nur Geld verdienen.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Tagen ago