Android-Malware stiehlt Geld und löscht Daten

Das Sicherheitsunternehmen Cleafy hat drei neue Varianten des Remote-Access-Trojaners BRATA analysiert. Die Forscher vermuten, dass die Autoren von BRATA ein Werks-Reset nutzen, um ihre Opfer daran zu hindern, einen nicht autorisierten Überweisungsversuch zu entdecken und den Betrug zu melden.

BRATA war ursprünglich eine Spyware, wurde dann aber zu einem Banking-Trojaner aufgerüstet. Sie wurde 2019 von Kaspersky-Forschern entdeckt und war ursprünglich auf Nutzer in Brasilien ausgerichtet. Seitdem hat der Trojaner laut McAfee seine Reichweite auf US-amerikanische und spanische Banken ausgeweitet.

Das Zurücksetzen auf die Werkseinstellungen fungiert als Kill Switch, der nach einer erfolgreichen illegalen Überweisung oder bei einer Analyse durch installierte Sicherheitssoftware ausgeführt wird. „Es hat den Anschein, dass die Hintermänner diese Funktion nutzen, um direkt nach einem unerlaubten Überweisungsversuch jegliche Spuren zu beseitigen“, so Cleafy. „Auf diese Weise verliert das Opfer noch mehr Zeit, bevor es begreift, dass eine bösartige Aktion stattgefunden hat.“

Das Zurücksetzen auf die Werkseinstellungen wird erreicht, indem BRATA sich als legitime Sicherheits-App ausgibt und das Opfer auffordert, ihr die Android-Berechtigung „Geräteverwaltung“ zu erteilen. Sie ermöglicht es der App, alle Daten zu löschen, die Bildschirmsperre zu ändern und Passwortregeln festzulegen.

Laut Cleafy wird BRATA per SMS verbreitet, die sich als Bank ausgibt und einen Link zu einer Website enthält, auf der das Opfer dazu verleitet wird, eine Antispam-App herunterzuladen. Die Betrüger rufen dann das Opfer an und bringen es dazu, die Banking-Trojaner-App zu installieren, mit der die Angreifer dann die von der Bank gesendeten Codes für die Zweit-Faktor-Authentifizierung abfangen können, um betrügerische Transaktionen zu genehmigen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago