Neue Trojaner-Kampagnen greifen Hunderte von Krypto-Wallets und Banking-Apps an

Cybersicherheitsforscher haben vier aktive Familien von Android-Malware entdeckt, die über 800 Apps, darunter Kryptowährungs-Wallets und Banking-Apps, angreifen. Diese Malware nutzt Methoden, die von den meisten herkömmlichen Sicherheitstools nicht erkannt werden können.

Das zLabs-Team von Zimperium hat Ergebnisse tracVerfolgung der Trojaner RecruitRat, SaferRat, Astrinox und Massiv veröffentlicht.

Laut den Recherchen des Unternehmens verfügt jede Familie über ein eigenes Kommando- und Kontrollnetzwerk, mit dem sie Anmeldeinformationen stiehlt, Finanztransaktionen übernimmt und Benutzerdaten von infizierten Geräten erhält.

Krypto- und Banking-Apps sind neuen Bedrohungen durch vielfältige Schadsoftware ausgesetzt

Die Malware-Familien stellen eine direkte Bedrohung für jeden dar, der Krypto auf Android verwaltet.

Nach der Installation können die Trojaner gefälschte Anmeldebildschirme über echte Krypto- und Banking-Apps legen und so Passwörter und andere private Daten in Echtzeit stehlen. Die Schadsoftware blendet dann eine gefälschte HTML-Seite über die Benutzeroberfläche der echten App ein und erzeugt so, wie das Unternehmen es nennt, „eine äußerst überzeugende und irreführende Fassade“

„Durch die Nutzung von Barrierefreiheitsdiensten zur Überwachung des Vordergrunds erkennt die Malware den genauen Moment, in dem ein Opfer eine Finanzanwendung startet“, schrieben Sicherheitsforscher von Zimperium.

zufolge Berichtstehlendent. Sie können auch Einmalpasswörter abfangen, den Bildschirm eines Geräts an Angreifer streamen, ihre eigenen App-Symbole verbergen und verhindern, dass Benutzer sie deinstallieren.

Jede Kampagne verwendet einen anderen Köder, um die Leute dazu zu bringen, darauf hereinzufallen.

SaferRat verbreitete sich über gefälschte Webseiten, die kostenlosen Zugang zu Premium-Streamingdiensten versprachen. RecruitRat versteckte seine Schadsoftware im Rahmen eines Bewerbungsprozesses und leitete die Opfer auf Phishing-Seiten weiter, die sie zum Herunterladen einer schädlichen APK-Datei aufforderten.

Astrinox verwendete die gleiche Art von Rekrutierungsmethode und nutzte die Domain xhire[.]cc. Je nachdem, mit welchem ​​Gerät die Website besucht wurde, wurden unterschiedliche Inhalte angezeigt.

ähnelte Apple . Sicherheitsforscher fanden jedoch keine Beweise dafür, dass iOS tatsächlich gehackt wurde.

Es konnte nicht bestätigt werden, wie Massiv während des Forschungszyklus verteilt wurde.

Alle vier Trojaner nutzten Phishing-Infrastruktur, SMS-Betrug und Social Engineering, um die Bedürfnisse der Menschen nach schnellem Handeln oder ihre Neugier auszunutzen und sie dazu zu bringen, schädliche Apps per Sideloading zu installieren.

Kryptomalware entgeht der Erkennung

Die Kampagnen zielen darauf ab, Sicherheitsvorkehrungen zu umgehen.

Die Forscher stellten fest, dass die Malware-Familien fortgeschrittene Anti-Analyse-Techniken und strukturelle Manipulationen an Android-Anwendungspaketen (APKs) einsetzen, um, wie das Unternehmen es nannte, „nahezu keine Erkennungsraten gegenüber herkömmlichen signaturbasierten Sicherheitsmechanismen“ zu erreichen

Netzwerkkommunikation vermischt sich mit dem regulären Datenverkehr. Die Trojaner nutzen HTTPS- und WebSocket-Verbindungen zur Kommunikation mit ihren Kommandozeilenservern. Einige Versionen fügen diesen Verbindungen zusätzliche Verschlüsselungsebenen hinzu.

Ein weiterer wichtiger Aspekt ist die Persistenz. Moderne Android-Banking-Trojaner verwenden keine einfachen, einstufigen Infektionen mehr. Stattdessen nutzen sie mehrstufige Installationsprozesse, um das sich wandelnde Berechtigungsmodell von Android zu umgehen. Dieses Modell erschwert es Apps, Aktionen ohne die ausdrückliche Zustimmung des Nutzers auszuführen.

Der Bericht nanntedentspezifischen Krypto-Wallets oder Börsen unter den über 800 betroffenen Anwendungen. Aufgrund von Overlay-Angriffen, dem Abfangen von Passwörtern und Screen-Streaming ist jedoch jede Android-basierte Krypto-App gefährdet, wenn ein Nutzer eine schädliche APK-Datei außerhalb des Google Play Stores installiert.

Das Herunterladen von Apps über Links in SMS, Stellenanzeigen oder Werbe-Websites ist immer noch eine der sichersten Methoden, mit denen mobile Schadsoftware auf ein Smartphone gelangt.

Nutzer, die ihre Kryptowährungen auf Android-Geräten verwalten, sollten ausschließlich offizielle App-Stores verwenden und sich vor Pop-up-Meldungen in Acht nehmen, die sie zum Herunterladen von Software auffordern.