Banken-Trojaner immer wieder im Google Play Store

Banken-Trojaner tauchen immer wieder im Google Play Store auf

Schon wieder haben es Android Banken-Trojaner in den Google Play Store geschafft. Unser Research erklärt die Einzelheiten.

Schon wieder haben es Android Banken-Trojaner in den Google Play Store geschafft. Unser Research erklärt die Einzelheiten.

Malware-Entwickler testen die Wachsamkeit von Android-Usern aufs Neue. Schon wieder sind im Google Play Store getarnte Banken-Trojaner aufgetaucht. Erst kürzlich haben wir 29 davon analysiert. Alle stammen aus einem Zeitraum zwischen August bis Anfang Oktober 2018. Die Banken-Trojaner tarnen sich als Geräte-Optimierer, Batterie-Manager oder als Horoskop-Apps.

Im Gegensatz zu den immer häufiger vorkommenden bösartigen Apps, die legitime Finanzinstitute nachahmen und gefälschte Eingabemasken zeigen, gehören die von uns neu entdeckten Banken-Trojaner zu einer etwas höher entwickelten Spezies. Diese mobile Banking-Trojaner warten mit komplexeren Funktionen auf und ihr Tarnmechanismus spielt eine viel größere Rolle.

Die ferngesteuerten Trojaner sind in der Lage, Apps auf dem Gerät des Opfers anzugreifen und maßgeschneiderte Phishing-Formulare zu erstellen. Davon abgesehen können sie SMS-Textnachrichten abfangen und umleiten, um eine Zwei-Faktor-Authentifizierung zu umgehen. Auch Anrufprotokolle können mitgelesen und zusätzliche Apps auf dem Gerät installiert werden.

Die schädlichen Apps wurden meist unter verschiedenen Entwicklernamen hochgeladen, aber Code-Ähnlichkeiten und ein gemeinsamer C&C-Server deuten darauf hin, dass die Trojaner-Apps das kriminelle Werk eines einzelnen Angreifers bzw. einer Gruppe sind.

Beispiele für die bei Google Play gefundenen Banking-Trojaner

Abbildung 1: Beispiele für die bei Google Play gefundenen Banking-Trojaner

Die 29 bösartigen Apps wurden aus dem offiziellen Android-Store entfernt, nachdem ESET und Verbündete die Verantwortlichen bei Google darauf hinwiesen. Bevor die Banken-Trojaner allerdings aus dem Verkehr gezogen werden konnten, installierten rund 30.000 Android-User die Schad-Apps.

 

Eine falsche Fehlermeldung, die von einem der Trojaner beim Start angezeigt wird

Abbildung 2: Eine falsche Fehlermeldung, die von einem der Trojaner beim Start angezeigt wird

Wie funktionieren die Banken-Trojaner?

Entweder zeigen die Trojaner-Apps nach dem Start eine Fehlermeldung an – Inkompatibilität mit dem Android-Gerät – worauf sie dann im Hintergrund verschwinden oder die Anwendungen erfüllen die angepriesene Funktionalität.

Alle 29 Trojaner-Apps tragen die verschlüsselte Payload in sich – unabhängig davon, was sie nach dem ersten Öffnen anzeigen. Die Nutzlast ist Base64 kodiert und dann mit Hilfe der RC4-Verschlüsselungsmethode und einem festkodierten Schlüssel verschlüsselt. Die erste Stufe der Malware-Aktivität ist ein Dropper, der zunächst nach einem Emulator oder einer Sandbox sucht. Ist das Resultat negativ, entschlüsselt und entpackt der Banken-Trojaner einen Loader und die Payload. Diese Nutzlast enthält die eigentliche Banking-Malware. Einige der analysierten Apps enthielten auch mehr als eine Stufe verschlüsselter Payload.

Malware-Funktion zum Erkennen eines Android-Emulators

Abbildung 3: Malware-Funktion zum Erkennen eines Android-Emulators

Letztendlich versucht die Malware eine auf dem Android-Gerät installierte Banking-App zu imitieren, eingehende SMS-Nachrichten abzufangen oder Nachrichten selbst zu versenden sowie zusätzliche Apps herunterzuladen und zu installieren.

Ein erstaunliches Feature ist das dynamische Nachahmen jeder auf dem kompromittierten Gerät installierten Anwendung. Der Banken-Trojaner ist in der Lage, HTML-Code einer bereits installierten App aufzurufen und so für sich anzupassen, dass beispielsweise Formularfelder mit eigenem Schadcode überdeckt werden. Das Opfer besitzt kaum eine Chance, die Kompromittierung aufzuspüren.

Wie schütze ich mich vor Banken-Trojanern?

Glücklicherweise besitzen die von uns analysierten Banken-Trojaner keine ausgefeilten Persistenz-Mechanismen, sodass sie recht einfach vom Android- Gerät zu entfernen sind. Wer glaubt, einer der Apps zum Opfer gefallen zu sein, kann sie über die Einstellungen im Anwendungsmanager deinstallieren und löschen.

Wir empfehlen darüber hinaus die Umsatzübersicht des Bankkontos zu überprüfen sowie das Online-Banking Passwort bzw. den PIN zu ändern.

Außerdem helfen diese einfachen Tipps, Banken-Trojanern fern zu bleiben:

  • Generell sind die angebotenen Apps im Google Play Store sicherer als anderswo. Schad-Apps werden umgehend entfernt.
  • Vor dem Herunterladen sollten Bewertungen, Anzahl der Downloads und die Rezensionen gecheckt werden.
  • Ein Blick in die eingeforderten Berechtigungen hilft eventuelle betrügerische Apps fernzuhalten.
  • Das Android-Gerät sollte immer unter der aktuellsten Version laufen. Mobile Security Softwarelösungen gibt es auch für Android-Endgeräte. ESET-Produkte erkennen und blockieren die gefundenen Banken-Trojaner als Android/TrojanDropper.Agent.CIQ.

Ein besonderer Dank geht an Nikolaos Chrysaidos, der die ESET-Forscher auf die Bedrohung hinwies.

Indicators of Compromise (IoCs)

App namePackage nameHashInstalls
Power Managercom.puredevlab.powermanager7C13ADEFC2CABD85AD8F486C3CBDB6379811A09710+
Astro Plus com.astro.plus24D2ED751A33BD965A01FA87D7A187D14D0B08490+
Master Cleaner - CPU Booster bnb.massclean.boost101DA4333A26BC6D9DFEF6605E5D8D10206C0EB45,000+
Master Clean - Power Booster mc.boostpower.lfE5DC8D4664167D61E5B4D83597965253A8B4CB3B100+
Super Boost Cleaner cpu.cleanpti.clo33D59A70363857A0CE6857D201B764EF3E8194DD500+
Super Fast Cleanersuper.dupclean.comE125AC53050CAFA5A930B210C8168EA9ED0FD6F1500+
Daily Horoscope For All Zodiac Signs ui.astrohoro.t2018C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA100 +
Daily Horoscope Free - Horoscope Compatibility com.horochart.ukCD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25500+
Phone Booster - Clean Master ghl.phoneboost.com9834B40401D76473D496E73884947D8A9F1920B31,000+
Speed Cleaner - CPU Cooler speeeed.cool.fh7626646C5C6D2C94B9D541BD5A0F320421903277100+
Ultra Phone Booster ult.boostphone.pb 6156081484663085B4FC5DEAEBF7DA079DD655C31,000+
Free Daily Horoscope 2019 fr.dayy.horos 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B50+
Free Daily Horoscope Plus - Astrology Online com.dailyhoroscope.freec0be22c44e5540322e0ffbf3a6fe18ce0968d3b51,000+
Phone Power Booster pwr.boost.proFCB8E568145AF2B6D8D29C0484417E51DD25717F1,000+
Ultra Cleaner - Power Boost ua.cleanpower.boostCB37C8C44750874BA61F6F95E7A7C29073CB51DC50+
Master Cleaner - CPU Booster bnm.massclean.boost 63E1C18D87F41ABF9956FC035D29D3C2890453EE5,000+
Daily Horoscope - Astrological Forecast gmd.horobest.ty90f41c64b3ab3f3b43e9d14b52f13143afb643da1,000+
Speed Cleaner – CPU Cooler speeeed.cool.gh56be07b21c9992a45c3b44b2e8a26b928e8238e20+
Horoscope 2018 com.horo2018i.upc8dc0e94f38556cd83ca6a693fa5b6d7ae3957f71,000+
Meu Horóscopo my.horoscop.br92808ca526f8e655d8fa8716ab476be4041cd5051,000+
Master Clean - Power Booster mc.boostpower.cfab88a93b0e919e5e07cf867f4165f78aa77dc40350+
Boost Your Phone boost.your.phone5577c9131f026d549a38e3ce48c04a323475927e1,000+
Phone Cleaner - Booster, Optimizer phone.boost.glh 988AB351549FEB2C1C664A29B021E98E3695A18A1,000+
Clean Master Pro Booster 2018 pro.cleanermaster.izb9d32241d169dfd4ca5674dffa357796b200bc2f10+
Clean Master - Booster Pro bl.masterbooster.pro bcb9ef41fea8878eb10f4189dd55bfe1d03a64b35,000+
BoostFX. Android cleaner fx.acleaner.e2018 99bff493d201d42534eec9996fd0819a50+
Daily Horoscope day.horocom.ww 971a0cf208f99c259966b20aa10380c11,000+
Daily Horoscope com.dayhoroscope.en25e95b32832a491108835b382c4f14aa1,000+
Personal Horoscope horo.glue.zodnow 0dcaf426bbc3b484aa4004f5c8e48a191,000+

Hier können Sie mitdiskutieren