Android-Malware stiehlt Geld und löscht Daten

Das Sicherheitsunternehmen Cleafy hat drei neue Varianten des Remote-Access-Trojaners BRATA analysiert. Die Forscher vermuten, dass die Autoren von BRATA ein Werks-Reset nutzen, um ihre Opfer daran zu hindern, einen nicht autorisierten Überweisungsversuch zu entdecken und den Betrug zu melden.

BRATA war ursprünglich eine Spyware, wurde dann aber zu einem Banking-Trojaner aufgerüstet. Sie wurde 2019 von Kaspersky-Forschern entdeckt und war ursprünglich auf Nutzer in Brasilien ausgerichtet. Seitdem hat der Trojaner laut McAfee seine Reichweite auf US-amerikanische und spanische Banken ausgeweitet.

Das Zurücksetzen auf die Werkseinstellungen fungiert als Kill Switch, der nach einer erfolgreichen illegalen Überweisung oder bei einer Analyse durch installierte Sicherheitssoftware ausgeführt wird. „Es hat den Anschein, dass die Hintermänner diese Funktion nutzen, um direkt nach einem unerlaubten Überweisungsversuch jegliche Spuren zu beseitigen“, so Cleafy. „Auf diese Weise verliert das Opfer noch mehr Zeit, bevor es begreift, dass eine bösartige Aktion stattgefunden hat.“

Das Zurücksetzen auf die Werkseinstellungen wird erreicht, indem BRATA sich als legitime Sicherheits-App ausgibt und das Opfer auffordert, ihr die Android-Berechtigung „Geräteverwaltung“ zu erteilen. Sie ermöglicht es der App, alle Daten zu löschen, die Bildschirmsperre zu ändern und Passwortregeln festzulegen.

Laut Cleafy wird BRATA per SMS verbreitet, die sich als Bank ausgibt und einen Link zu einer Website enthält, auf der das Opfer dazu verleitet wird, eine Antispam-App herunterzuladen. Die Betrüger rufen dann das Opfer an und bringen es dazu, die Banking-Trojaner-App zu installieren, mit der die Angreifer dann die von der Bank gesendeten Codes für die Zweit-Faktor-Authentifizierung abfangen können, um betrügerische Transaktionen zu genehmigen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago