Bedrohung durch Android-Malware
Android-Hacker richten sich zunehmend gegen mehr als 800 Anwendungen in den Bereichen Banking, Kryptowährung und soziale Medien. Das Cybersicherheitsunternehmen Zimperium berichtet, dass seine Forscher vier aktive Malware-Familien identifiziert haben, die eine ausgeklügelte Kommando- und Kontrollinfrastruktur nutzen, um Anmeldedaten zu stehlen, unbefugte Finanztransaktionen durchzuführen und Daten in großem Umfang zu exfiltrieren.
„Kollektiv zielen diese Kampagnen auf über 800 Anwendungen in den Bereichen Banking, Kryptowährung und soziale Medien ab. Durch den Einsatz fortschrittlicher Anti-Analyse-Techniken und struktureller APK-Manipulation erreichen diese Malware-Familien oft nahezu null Erkennungsraten gegenüber traditionellen signaturbasierten Sicherheitsmechanismen“, erklärt Zimperium.
Die Namen der Malware-Familien sind RecruitRat, SaferRat, Astrinox und Massiv.
Angriffsstrategien der Malware
Angreifer setzen häufig auf Phishing-Websites, betrügerische Stellenangebote, gefälschte Software-Updates, SMS-Betrügereien und irreführende Werbung, um Opfer zu überzeugen, bösartige Android-Apps zu installieren. Nach der Installation kann die Malware:
- Berechtigungen für die Barrierefreiheit anfordern
- App-Icons verstecken
- Deinstallationsversuche blockieren
- PINs und Passwörter über gefälschte Sperrbildschirme stehlen
- Einmalpasswörter erfassen
- Live-Bildschirme des Geräts streamen
- Gefälschte Anmeldeseiten über legitimen Banking- oder Krypto-Apps legen
„Overlay-Angriffe bleiben das Fundament des Lebenszyklus der Anmeldedatenerfassung. Durch die Nutzung von Barrierefreiheitsdiensten zur Überwachung des Vordergrunds erkennt die Malware den genauen Moment, in dem ein Opfer eine Finanzanwendung startet. Die Malware ruft dann eine bösartige HTML-Nutzlast ab und überlagert sie auf die Benutzeroberfläche der legitimen Anwendung, wodurch eine äußerst überzeugende, täuschende Fassade entsteht“, so das Unternehmen.
Techniken zur Umgehung der Erkennung
Zimperium erklärt weiter, dass die Kampagnen HTTPS- und WebSocket-Kommunikation verwenden, um bösartigen Datenverkehr mit normaler App-Aktivität zu vermischen, während einige Varianten zusätzliche Verschlüsselungsschichten hinzufügen, um der Erkennung zu entgehen.
