Die Nutzung mobiler Apps hat in den vergangenen Jahren kontinuierlich zugenommen. Laut einem Report von Adjust hatte sich die Download-Rate bereits 2020 im Vergleich zum Vorjahr verdoppelt. Im Schnitt installierte jeder Smartphone-Besitzer rund 40 Apps auf seinem Endgerät – Tendenz steigend. Bis Ende dieses Jahres könnten laut Studie weitere 250 Milliarden Apps heruntergeladen werden.
Mit der Verbreitung der Apps nimmt auch die Zahl der Cyber-Angriffe auf mobile Geräte zu. Die Methoden dabei sind vielfältig. Neben ausgeklügelten Social-Engineering-Attacken, die den Nutzer dazu bringen, Malware auf das Handy zu laden, gibt es auf offiziellen und inoffiziellen App-Marktplätzen immer mehr gefälschte Anwendungen. Ist eine App erst einmal heruntergeladen, installiert sich ein Trojaner und ermöglicht es den Cyber-Kriminellen, Informationen auszuspionieren oder weitere Schadsoftware nachzuladen. Implementiert der Hacker beispielsweise einen Remote Access Trojaner (RAT) auf dem Smartphone, kann dieser die administrative Kontrolle über das Gerät übernehmen und Anmeldedaten für eine Banking-App oder auch Einmal-Passwörter abfangen. Der User bemerkt davon zunächst nichts. Einer Untersuchung von BioCatch zufolge handelte es sich im zweiten Quartal 2021 bei einem von 24 Betrugsfällen um einen RAT-Angriff.
Einblick in einen FluBot-Angriff
Ein Beispiel für Mobile Malware ist der Trojaner FluBot, der sich Anfang des Jahres in Deutschland stark verbreitet hat. Die Schadsoftware kommt hauptsächlich beim Diebstahl von Bank-, Kontakt-, SMS- und anderen privaten Daten zum Einsatz und wurde Anfang 2020 erstmals entdeckt. Um eine hohe Reichweite zu generieren, also möglichst viele Geräte zu infizieren, nutzen die Hacker Social-Engineering-Attacken. Die Betroffenen erhalten zumeist eine SMS-Nachricht von einem vermeintlichen Paket-Zusteller, die einen Phishing-Link enthält. Klickt die Person auf den Link, wird sie auf eine gefälschte Webseite gelenkt. Der Schadcode wird als Android-Service auf dem Smartphone implementiert und agiert im Hintergrund. Dadurch kann er sich dauerhaft im Endgerät einnisten, ohne erkannt zu werden. Nach dem Herunterladen erhält er weitreichende Berechtigungen und beginnt sofort mit dem Scannen der auf dem Gerät installierten Anwendungen. Der Trojaner initiiert zudem sogenannte Overlay-Angriffe, die das Opfer verleiten, seine Anmeldedaten auf der gefälschten Oberfläche einzugeben. Auf diese Weise gelangt der Hacker schließlich an sensible Informationen wie Bankdaten. Zudem ist FluBot in der Lage, Kryptowährungen zu stehlen. Für die Betroffenen ist es schwierig, den Trojaner zu erkennen und zu löschen. Und wenn Kriminelle Zugriff auf die Login- und Kontodaten erhalten, können sie im Namen ihrer Opfer Überweisungen tätigen und damit hohe finanzielle Schäden verursachen.
Die Erkennung von Malware auf mobilen Endgeräten stützt sich vor allem auf gängige Antiviren-Technologien, die nach dem Namen einer verdächtigen Datei suchen und Apps und deren Hashes regelmäßig auf Schadsoftware überprüfen. Diese Methode stieß allerdings in den vergangenen Jahren immer wieder an ihre Grenzen. Denn um den Antiviren-Scan zu umgehen, konzipieren die Hacker ihre Malware so, dass sich deren Dateiname kontinuierlich ändert. Die Liste an Schadsoftware, mit der sie mobile Geräte angreifen, wird zudem immer länger und die Methoden immer ausgefeilter. Da in den vergangenen zwei Jahren verstärkt mobile Endgeräte für Bankgeschäfte genutzt werden, ist davon auszugehen, dass künftig zunehmend Malware für Smartphones kursiert.
Mobile Malware mit Verhaltensbiometrie erkennen
Abhilfe schaffen Verfahren auf Basis von Verhaltensbiometrie. Damit lässt sich erkennen, wenn ein Cyber-Krimineller die Bankdaten durch Mobile Malware exfiltriert hat und Überweisungen tätigt. Mithilfe von künstlicher Intelligenz und Machine Learning können Sicherheitsexperten echte Nutzer von Betrügern unterscheiden. So navigiert ein Krimineller bei einer Transaktion schneller auf dem Endgerät, da er mit dem Prozess vertraut ist und die gestohlenen Daten beispielsweise per Copy und Paste in die Überweisungsmaske eingibt. Auch veränderte Berührungs- und Wischmuster sind ein Indikator, wenn sie von ursprünglichen Sitzungen abweichen. Dies kann darauf hindeuten, dass der Benutzer keine Kontrolle über das mobile Endgerät hatte, weil ein Remote-Access-Trojaner in das Smartphone eingeschleust wurde. So wurde beobachtet, dass sich das Endgerät bei einem Betrugsversuch via RAT während der kompletten Dauer einer Kontositzung in einer flachen Haltung befand. Im Vergleich dazu bewegt der echte Nutzer das Smartphone, die Haltung ändert sich also während einer Sitzung mehrmals.
Aus der Analyse der Berührungs- und Wischmuster von betrügerischen und echten Sitzungen und dem anschließenden Vergleich mit früheren Aktivitäten des echten Kontoinhabers ergeben sich typische Schemata:
Stellt die Software auf Basis von Verhaltensbiometrie und Machine Learning mehrere betrügerische Merkmale in Kombination fest, geht bei den Sicherheitsexperten der Bank ein Alarm ein. Dadurch können Finanzinstitute vorsorglich in einen Betrugsversuch eingreifen, bevor dem Kunden und der Bank ein finanzieller Schaden entsteht.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…