Die Sicherheitsforscher von ThreatFabric haben einen neuen Stamm von Android-Malware namens Alien entdeckt und analysiert, der mit einer Vielzahl von Funktionen ausgestattet ist, die es ihm ermöglichen, die Zugangsdaten von 226 Anwendungen zu stehlen.
Die Experten haben sich eingehend mit Forenbeiträgen und Alien-Beispielen befasst, um die Entwicklung, Tricks und Funktionen der Malware zu verstehen. Den Forschern zufolge ist Alien nicht wirklich ein neues Stück Code, sondern basierte eigentlich auf dem Quellcode einer rivalisierenden Malware-Gang namens Cerberus.
Cerberus, letztes Jahr noch ein aktives Malware-as-a-Service (MaaS), verpuffte dieses Jahr, als sein Besitzer versuchte, seine Code- und Kundenbasis zu verkaufen, bevor er sie schließlich umsonst durchsickern ließ.
ThreatFabric sagt, Cerberus sei ausgestorben, weil das Sicherheitsteam von Google einen Weg gefunden habe, infizierte Geräte aufzuspüren und zu säubern. Aber selbst wenn Alien auf einer älteren Cerberus-Version basierte, scheint Alien dieses Problem nicht zu haben, und das neue MaaS sprang ein, um die Lücke zu füllen, die der Untergang von Cerberus hinterlassen hatte.
Die Forscher sagen, dass Alien sogar noch weiter fortgeschritten ist als Cerberus, der ein durchaus angesehener und gefährlicher Trojaner war. Laut ThreatFabric gehört Alien zu einer neuen Generation von Android-Banking-Trojanern, die auch Fernzugriffsfunktionen in ihre Codebasen integriert haben.
Alien kann nicht nur gefälschte Anmeldebildschirme zeigen und Passwörter für verschiedene Anwendungen und Dienste sammeln, sondern es kann den Hackern auch Zugang zu Geräten gewähren, um diese Zugangsdaten zu verwenden oder sogar andere Aktionen durchzuführen.
Gegenwärtig verfügt Alien laut ThreatFabric über die folgenden Fähigkeiten:
Das ist eine recht beeindruckende Reihe von Merkmalen. ThreatFabric erklärt, dass diese hauptsächlich für Banking-Betrug verwendet werden, wobei die Hacker auf Online-Konten zielen und nach Geld suchen.
Während der Analyse sagten die Forscher, sie hätten herausgefunden, dass Alien Unterstützung für die Anzeige gefälschter Anmeldeseiten für 226 andere Android-Anwendungen habe (vollständige Liste im ThreatFabric-Bericht).
Die meisten dieser gefälschten Anmeldeseiten zielten darauf ab, Anmeldedaten für E-Banking-Anwendungen abzufangen, was ihre Einschätzung, dass Alien für Betrügereien gedacht war, eindeutig stützt.
Alien zielte jedoch auch auf andere Anwendungen ab, wie E-Mail-, Social-, Instant-Messaging- und Krypto-Währungs-Anwendungen (d.h. Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp usw.).
Die meisten Bankanwendungen, auf die die Entwickler von Alien abzielten, waren für Finanzinstitute mit Sitz vor allem in Spanien, der Türkei, Deutschland, den USA, Italien, Frankreich, Polen, Australien und Großbritannien bestimmt.
ThreatFabric machte keine Detailangaben, wie Alien seinen Weg auf die Geräte der Benutzer findet, vor allem, weil dies davon abhängt, wie sich die Alien-MaaS-Kunden (andere kriminelle Gruppen) für die Verbreitung entschieden haben.
Historisch gesehen wird Android-Malware jedoch häufig in Anwendungen getarnt, die über inoffizielle App-Stores von Drittanbietern vertrieben werden, oder in Anwendungen, die auf Websites von Drittanbietern gehostet werden und über dubiose Werbung an Benutzer verkauft werden.
Einige mit Malware verseuchte Anwendungen schaffen es ab und zu in den Play Store, aber meistens werden sie über andere Kanäle verbreitet.
Diese zwielichtigen Anwendungen können leicht entdeckt werden, da sie häufig erfordern, dass die Benutzer ihnen Zugang zu einem Admin-Benutzer oder einem Zugangsdienst gewähren.
Wie selbstverständlich der Ratschlag „Installieren Sie keine Anwendungen von zwielichtigen Websites und gewähren Sie ihnen Admin-Rechte“ auch klingen mag, sind dennoch nicht alle Android-Benutzer technisch versiert genug, um ihn zu verstehen.
Viele Anwender werden Anwendungen von jedem beliebigen Ort herunterladen und installieren und sich dann während der Installation einfach durch alle Eingabeaufforderungen klicken. Deshalb ist Android-Malware heutzutage in Hackerforen ein großes Geschäft.
ThreatFabric empfiehlt allen Finanzinstitutionen dringend, ihre gegenwärtige und zukünftige Bedrohungslage zu verstehen und folglich die entsprechenden Erkennungs- und Kontrollmechanismen zu implementieren.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…