Android‑Trojaner leert PayPal‑Konto | WeLiveSecurity

Android‑Trojaner leert PayPal‑Konto

ESET-Forscher entdeckten einen neuen Android-Trojaner, der eine neuartige Zugriffstechnik gegen die offizielle PayPal-App einsetzte. Die Malware ist in der Lage, PayPals Zwei-Faktor-Authentifizierung zu umgehen.

ESET-Forscher entdeckten einen neuen Android-Trojaner, der eine neuartige Zugriffstechnik gegen die offizielle PayPal-App einsetzte. Die Malware ist in der Lage, PayPals Zwei-Faktor-Authentifizierung zu umgehen.

Ein neuer Trojaner hat Android-User ins Visier genommen und versucht, diese um ihre PayPal-Ersparnisse zu bringen.

ESET entdeckte den Android-Trojaner im November 2018. Die Malware kombiniert die Funktion eines ferngesteuerten Banken-Trojaners mit dem Missbrauch der Android-Bedienungshilfen, um damit User der offiziellen PayPal-App zu kompromittieren.

Zum Entstehungszeitpunkt dieses Artikels tarnte sich die Malware als Batterie-Optimierungssoftware, welche durch Drittanbieter-App-Stores verteilt wurde.

Tarnung der Malware

Abbildung 1: Tarnung der Malware

Eigenschaften des Android-Trojaners

Schon bald nach dem Starten der Fake-App beendet sich diese ohne weitere Funktionalität und das App-Icon verschwindet. Die weiteren Funktionen unterteilen sich hier in hauptsächlich zwei Abschnitte. Im Folgenden erläutern wir diese genauer.

Schädliche Bedienungshilfen befallen PayPal-App

Die Hauptfunktion des schädlichen Android-Trojaners besteht darin, Geld vom PayPal-Konto eines Opfers zu stehlen. Dazu muss ein schädlicher Accessibility Service (Android Bedienungshilfen) aktiviert werden. In Abbildung 2 erkennt man, wie sich der Dienst dem User als scheinbar harmlos offenbart.

Die Malware bittet um die Aktivierung der Bedienhilfen, getarnt als "Enable statitics"

Abbildung 2: Die Malware bittet um die Aktivierung der Bedienhilfen, getarnt als „Enable statitics“

Ist die offizielle PayPal Android-App auf dem kompromittierten Gerät installiert, wird die Malware ein Benachrichtigungsfenster anzeigen, in dem der Android-User zum Öffnen der PayPal-App aufgefordert wird. Nachdem der Benutzer die PayPal-App geöffnet und sich eingeloggt hat, ahmt der Trojaner durch die zuvor zugelassenen Android-Bedienungshilfen die Interaktionen des Benutzers nach. Letztendlich wird auf diese Weise Geld an die Cyberangreifer vom PayPal-Konto des Opfers gesendet.

Während der ESET-Analysen der schädlichen App, versuchte diese 1000 Euro zu transferieren. Allerdings wird die Einheit der Währung durch den Aufenthaltsort des Users bestimmt. Insgesamt dauert die Transaktion gerade einmal fünf Sekunden. Für den nichts ahnenden Android-User bleibt dabei kaum Zeit, zu intervenieren.

Der Trojaner konzentriert sich nicht auf das Stehlen von PayPal-Anmeldedaten, sondern wartet, bis sich der User in die PayPal-App einloggt. Deshalb ist dieser auch im Stande, PayPals Zwei-Faktor-Authentifizierung zu umgehen. Normalerweise soll die Zwei-Faktor-Authentifizierung durch die zusätzliche Eingabe eines Codes eine zusätzliche Schutzbarriere bilden. In dem vorliegenden Fall ist es aber egal, ob der Android-User die zweistufige Authentifizierung aktiviert hat, oder nicht.

Das nachfolgende Video demonstriert die Cyberattacke durch den Trojaner.

Die Angreifer stoppt nur ein nicht ausreichend gedecktes PayPal-Konto sowie die Abwesenheit einer Verknüpfung mit Debit- oder Kreditkarte. Der schädliche Trojaner wird im Übrigen jedes Mal mit dem Aufruf der PayPal-App gestartet. Das bedeutet, dass eine ungewollte Abbuchung auch mehrere Male hintereinander stattfinden kann.

PayPal wurde bereits über die boshafte Strategie des Trojaners und dem damit einhergehenden PayPal-Konto informiert.

Banken-Trojaner verlässt sich auf Overlay-Attacken

Die zweite Funktion der Malware utilisiert Phishing-Masken, die über legitime Apps gelegt werden. Standardmäßig lädt die Malware auf HTML basierende Overlay-Screens für folgende fünf Android-Apps herunter: Google Play, WhatsApp, Skype, Viber, and Gmail. Diese Liste kann allerdings zu jeder Zeit dynamisch erweitert werden.

Vier der Fünf Overlay-Screens haben es auf Kreditkartendaten abgesehen (Abbildung 3). Ein Overlay beabsichtigt, Gmail-Anmeldedaten zu stehlen (Abbildung 4). Beim letzteren vermutet ESET eine Verbindung zur PayPal-Funktion. Benachrichtigungen über eine Transaktion auf das Gmail-Konto des Opfers sollen abgefangen und gelöscht werden, um länger getarnt zu bleiben.

Overlay-Screens für Google Play, WhatsApp, Viber und Skype fragen nach Kreditkartendaten.

Abbildung 3: Overlay-Screens für Google Play, WhatsApp, Viber und Skype fragen nach Kreditkartendaten

Boshafter Overlay-Screen verlangt nach Kreditkartendaten

Abbildung 4: Boshafter Overlay-Screen verlangt nach Kreditkartendaten

ESET fand auch Overlay-Screens für ansonsten legitime Banking-Apps, die nach den Anmeldedaten zum Online-Banking Account verlangen (Abbildung 5).

Schädlicher Overlay-Screen für die Mobile Banking App der National Australia Bank

Abbildung 5: Schädlicher Overlay-Screen für die Mobile Banking App der National Australia Bank

Anders als übliche Android Banken-Trojaner legen sich die Phishing-Screens des hiesigen Trojaners noch über die Bildschirmsperre. Diese Technik kommt beispielsweise auch bei Android-Ransomware zum Einsatz. Das Overlay hindert den Android-User daran, durch die Betätigung des „Zurück“- oder des „Home“-Buttons am Overlay vorbei zu kommen. Der einzige Weg daran vorbei führt über das Ausfüllen der Maske – welche übrigens nicht mit echten Anmeldedaten ausgefüllt werden muss!

Laut Analysen von ESET sahen sich die Malware-Entwickler wahrscheinlich auch noch nach Alternativen für den Einsatz der Screen-Overlay-Technik um. Der Trojaner-Code enthält Zeichenketten, welche das Android-Gerät wegen kinderpornografischer Inhalte als gesperrt anzeigen lassen könnten. Hierbei handelt es sich allerdings auch bloß um ein Overlay. Nur durch das Senden einer E-Mail an eine spezielle Adresse kann das Gerät angeblich entsperrt werden.

Diese Behauptung erinnert an frühere Ransomware-Attacken gegen Mobilgeräte, bei denen die Opfer in dem Glauben gelassen wurden, dass die Polizei das Smartphone sperrte.

Unklar ist allerdings, ob die Malware-Entwickler des Trojaners eine Erpressermasche planen, oder ob die Funktion lediglich dazu dient, andere schädliche Hintergrundaktionen zu verschleiern.

Neben den beiden beschriebenen Hauptfunktionen ist die Malware – abhängig von den vom C&C-Server erhaltenen Befehlen – auch noch zu Folgendem in der Lage:

  • SMS-Nachrichten senden und abfangen sowie löschen
  • Änderung der Standard-SMS-Anwendung (Umgehung von 2-Faktor-Authentifizierung)
  • Abrufen der Kontaktliste
  • Anrufe tätigen und weiterleiten
  • Abrufen einer Liste von installierten Apps
  • Installieren von Apps und Ausführen dieser
  • Starten von Socket-Kommunikation

Trojaner auch im Google Play Store gefunden

Des Weiteren entdeckte ESET fünf schädliche Apps mit den gleichen Möglichkeiten im Google Play Store. Diese zielen besonders auf brasilianische User ab.
Einige wurden bereits von Dr. Web gemeldet und von Google entfernt. Die Android-Anwendungen gaben vor den Aufenthaltsort von WhatsApp-Usern aufzuzeichnen. In Wirklichkeit bedienten sich die Apps an den Android-Bedienungshilfen, um Login-Daten aus Apps brasilianischer Banken zu ergaunern.
Außerdem suchten die Trojaner nach sensiblen Informationen durch Overlay-Screens, die auf Phishing-Webseiten umleiteten. Die anvisierten Android-Apps sind im IoC-Abschnitt gelistet.

Eine der schädlichen Apps aus dem Google Play Store

Abbildung 6: Eine der schädlichen Apps aus dem Google Play Store

Interessanterweise benutzen die Android-Trojaner die Bedienhilfen auch dann, wenn De-Installationsversuche erkannt werden. Beispielsweise simuliert die App ein wiederholtes Klicken auf den „Zurück“-Button, wenn eine Antivirus-App oder der App-Manager gestartet wird.

Wie schütze ich mich vor diesem Trojaner?

Wer den gefälschten Battery Optimizer „Optimization Android“ bereits installierte, ist möglicherweise schon Opfer der Fake-App / des Android-Trojaners geworden.

ESET rät, zunächst die Online-Banking-Umsätze zu überprüfen und nach verdächtigen Transaktionen Ausschau zu halten. Zudem sollte vorsichtshalber das Online-Banking Passwort/PIN und das Gmail-Kennwort geändert werden. Verdächtige PayPal-Transaktionen kann man im PayPal Konfliktlösungs-Center melden.

Android-Geräte, die durch die Screen-Overlays unbrauchbar sind, sollten im Android Safe Mode gebootet werden (ab Android-Version 6). Nach dem Starten des Android-Geräts im sicheren Modus muss der User die Fake-App im Anwendungsmanager suchen und deinstallieren. Dieser Hinweis gilt auch für die brasilianischen User.

Um ganz allgemein von Android-Malware verschont zu bleiben, empfiehlt sich die Einhaltung folgender Sicherheitstipps:

  • Android-Apps sollten nur aus dem Google Play Store heruntergeladen werden
  • Vor dem Download einer favorisierten Anwendung sollten die Bewertungen überprüft werden
  • App-Berechtigungen sind genau zu lesen
  • Das Android-Gerät ist stets auf Aktualität zu überprüfen
  • Die Nutzung einer Mobile Security ist sinnvoll
  • ESET erkennt die Bedrohung als Android/Spy.Banker.AJZ bzw. als Android/Spy.Banker.AKB

Indicators of Compromise (IoCs)

Android-Trojaner, der auf PayPal-User abzielt

Package NameHashESET detection name
jhgfjhgfj.tjgyjgjgjy1C555B35914ECE5143960FD8935EA564Android/Spy.Banker.AJZ

Android-Trojaner, der auf brasilianische User abzielt

Package NameHashESET detection name
service.webview.kiszwebFFACD0A770AA4FAA261C903F3D2993A2Android/Spy.Banker.AKB
service.webview.webkiszD6EF4E16701B218F54A2A999AF47D1B4Android/Spy.Banker.AKB
com.web.webbrickd5E278AAC7DAA8C7061EE6A9BCA0518FEAndroid/Spy.Banker.AKB
com.web.webbrickz2A07A8B5286C07271F346DC4965EA640Android/Spy.Banker.AKB
service.webview.strongwebview75F1117CABC55999E783A9FD370302F3Android/Spy.Banker.AKB

Anvisierte Android-Apps (Phishing Overlays)

  • com.uber
  • com.itaucard
  • com.bradesco
  • br.com.bb.android
  • com.netflix
  • gabba.Caixa
  • com.itau
  • Jede App, welche den String „twitter“ enthält

Anvisierte Android-Apps („In-App“-Navigation)

  • com.bradesco
  • gabba.Caixa
  • com.itau
  • br.com.bb
  • Jede App, welche den String „santander“ enthält

Anvisierte Antivirus-Apps und App-Manager

  • com.vtm.uninstall
  • com.ddm.smartappunsintaller
  • com.rhythm.hexise.uninst
  • com.GoodTools.Uninstalle
  • mobi.infolife.uninstaller
  • om.utils.uninstalle
  • com.jumobile.manager.systemapp
  • com.vsrevogroup.revouninstallermobi
  • oo.util.uninstall
  • om.barto.uninstalle
  • om.tohsoft.easyuninstalle
  • vast.android.mobile
  • om.android.cleane
  • om.antiviru
  • om.avira.andro
  • om.kms.free

Hier können Sie mitdiskutieren