Android-Malware Alien stiehlt Geld

Die Sicherheitsforscher von ThreatFabric haben einen neuen Stamm von Android-Malware namens Alien entdeckt und analysiert, der mit einer Vielzahl von Funktionen ausgestattet ist, die es ihm ermöglichen, die Zugangsdaten von 226 Anwendungen zu stehlen.

Die Experten haben sich eingehend mit Forenbeiträgen und Alien-Beispielen befasst, um die Entwicklung, Tricks und Funktionen der Malware zu verstehen. Den Forschern zufolge ist Alien nicht wirklich ein neues Stück Code, sondern basierte eigentlich auf dem Quellcode einer rivalisierenden Malware-Gang namens Cerberus.

Cerberus, letztes Jahr noch ein aktives Malware-as-a-Service (MaaS), verpuffte dieses Jahr, als sein Besitzer versuchte, seine Code- und Kundenbasis zu verkaufen, bevor er sie schließlich umsonst durchsickern ließ.

ThreatFabric sagt, Cerberus sei ausgestorben, weil das Sicherheitsteam von Google einen Weg gefunden habe, infizierte Geräte aufzuspüren und zu säubern. Aber selbst wenn Alien auf einer älteren Cerberus-Version basierte, scheint Alien dieses Problem nicht zu haben, und das neue MaaS sprang ein, um die Lücke zu füllen, die der Untergang von Cerberus hinterlassen hatte.

Die Forscher sagen, dass Alien sogar noch weiter fortgeschritten ist als Cerberus, der ein durchaus angesehener und gefährlicher Trojaner war. Laut ThreatFabric gehört Alien zu einer neuen Generation von Android-Banking-Trojanern, die auch Fernzugriffsfunktionen in ihre Codebasen integriert haben.

Alien kann nicht nur gefälschte Anmeldebildschirme zeigen und Passwörter für verschiedene Anwendungen und Dienste sammeln, sondern es kann den Hackern auch Zugang zu Geräten gewähren, um diese Zugangsdaten zu verwenden oder sogar andere Aktionen durchzuführen.

Gegenwärtig verfügt Alien laut ThreatFabric über die folgenden Fähigkeiten:

  • Kann Inhalte über andere Anwendungen legen (Funktion, die für Phishing-Anmeldedaten verwendet wird)
  • Tastatureingaben protokollieren
  • Bereitstellen von Fernzugriff auf ein Gerät nach der Installation einer TeamViewer-Instanz
  • Ernten, Senden oder Weiterleiten von SMS-Nachrichten
  • Kontaktliste stehlen
  • Sammeln von Gerätedetails und App-Listen
  • Sammeln von Geolokalisierungsdaten
  • USSD (Unstructured Supplementary Service Data)  Anfragen stellen
  • Anrufe weiterleiten
  • Andere Anwendungen installieren und starten
  • Browser auf gewünschten Seiten starten
  • Sperren des Bildschirms für eine lösegeldähnliche Funktion
  • Auf dem Gerät angezeigte Sniff-Benachrichtigungen
  • Stehlen von Zwei-Faktor-Authentifizierung (2FA) Codes, die von Authentifizierer-Anwendungen generiert wurden

Das ist eine recht beeindruckende Reihe von Merkmalen. ThreatFabric erklärt, dass diese hauptsächlich für Banking-Betrug verwendet werden, wobei die Hacker auf Online-Konten zielen und nach Geld suchen.

Während der Analyse sagten die Forscher, sie hätten herausgefunden, dass Alien Unterstützung für die Anzeige gefälschter Anmeldeseiten für 226 andere Android-Anwendungen habe (vollständige Liste im ThreatFabric-Bericht).

Die meisten dieser gefälschten Anmeldeseiten zielten darauf ab, Anmeldedaten für E-Banking-Anwendungen abzufangen, was ihre Einschätzung, dass Alien für Betrügereien gedacht war, eindeutig stützt.

Alien zielte jedoch auch auf andere Anwendungen ab, wie E-Mail-, Social-, Instant-Messaging- und Krypto-Währungs-Anwendungen (d.h. Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp usw.).

Die meisten Bankanwendungen, auf die die Entwickler von Alien abzielten, waren für Finanzinstitute mit Sitz vor allem in Spanien, der Türkei, Deutschland, den USA, Italien, Frankreich, Polen, Australien und Großbritannien bestimmt.

ThreatFabric machte keine Detailangaben, wie Alien seinen Weg auf die Geräte der Benutzer findet, vor allem, weil dies davon abhängt, wie sich die Alien-MaaS-Kunden (andere kriminelle Gruppen) für die Verbreitung entschieden haben.

Historisch gesehen wird Android-Malware jedoch häufig in Anwendungen getarnt, die über inoffizielle App-Stores von Drittanbietern vertrieben werden, oder in Anwendungen, die auf Websites von Drittanbietern gehostet werden und über dubiose Werbung an Benutzer verkauft werden.

Einige mit Malware verseuchte Anwendungen schaffen es ab und zu in den Play Store, aber meistens werden sie über andere Kanäle verbreitet.

Diese zwielichtigen Anwendungen können leicht entdeckt werden, da sie häufig erfordern, dass die Benutzer ihnen Zugang zu einem Admin-Benutzer oder einem Zugangsdienst gewähren.

Wie selbstverständlich der Ratschlag „Installieren Sie keine Anwendungen von zwielichtigen Websites und gewähren Sie ihnen Admin-Rechte“ auch klingen mag, sind dennoch nicht alle Android-Benutzer technisch versiert genug, um ihn zu verstehen.

Viele Anwender werden Anwendungen von jedem beliebigen Ort herunterladen und installieren und sich dann während der Installation einfach durch alle Eingabeaufforderungen klicken. Deshalb ist Android-Malware heutzutage in Hackerforen ein großes Geschäft.

ThreatFabric empfiehlt allen Finanzinstitutionen dringend, ihre gegenwärtige und zukünftige Bedrohungslage zu verstehen und folglich die entsprechenden Erkennungs- und Kontrollmechanismen zu implementieren.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago