Android-Malware stiehlt Geld und löscht Daten

Das Sicherheitsunternehmen Cleafy hat drei neue Varianten des Remote-Access-Trojaners BRATA analysiert. Die Forscher vermuten, dass die Autoren von BRATA ein Werks-Reset nutzen, um ihre Opfer daran zu hindern, einen nicht autorisierten Überweisungsversuch zu entdecken und den Betrug zu melden.

BRATA war ursprünglich eine Spyware, wurde dann aber zu einem Banking-Trojaner aufgerüstet. Sie wurde 2019 von Kaspersky-Forschern entdeckt und war ursprünglich auf Nutzer in Brasilien ausgerichtet. Seitdem hat der Trojaner laut McAfee seine Reichweite auf US-amerikanische und spanische Banken ausgeweitet.

Das Zurücksetzen auf die Werkseinstellungen fungiert als Kill Switch, der nach einer erfolgreichen illegalen Überweisung oder bei einer Analyse durch installierte Sicherheitssoftware ausgeführt wird. „Es hat den Anschein, dass die Hintermänner diese Funktion nutzen, um direkt nach einem unerlaubten Überweisungsversuch jegliche Spuren zu beseitigen“, so Cleafy. „Auf diese Weise verliert das Opfer noch mehr Zeit, bevor es begreift, dass eine bösartige Aktion stattgefunden hat.“

Das Zurücksetzen auf die Werkseinstellungen wird erreicht, indem BRATA sich als legitime Sicherheits-App ausgibt und das Opfer auffordert, ihr die Android-Berechtigung „Geräteverwaltung“ zu erteilen. Sie ermöglicht es der App, alle Daten zu löschen, die Bildschirmsperre zu ändern und Passwortregeln festzulegen.

Laut Cleafy wird BRATA per SMS verbreitet, die sich als Bank ausgibt und einen Link zu einer Website enthält, auf der das Opfer dazu verleitet wird, eine Antispam-App herunterzuladen. Die Betrüger rufen dann das Opfer an und bringen es dazu, die Banking-Trojaner-App zu installieren, mit der die Angreifer dann die von der Bank gesendeten Codes für die Zweit-Faktor-Authentifizierung abfangen können, um betrügerische Transaktionen zu genehmigen.