BRATA-Malware gibt sich im Google Play Store als Android-Sicherheitsscanner aus

Cyber Security News

Eine neue Reihe bösartiger Android-Apps wurde dabei erwischt, wie sie sich im offiziellen Play Store als App-Sicherheitsscanner ausgaben, um eine Hintertür zu verbreiten, über die sensible Informationen gesammelt werden können.

“Diese bösartigen Apps drängen Benutzer dazu, Chrome, WhatsApp oder einen PDF-Reader zu aktualisieren, doch anstatt die betreffende App zu aktualisieren, übernehmen sie die volle Kontrolle über das Gerät, indem sie Zugriffsdienste missbrauchen”, so das Cybersecurity-Unternehmen McAfee in einer am Montag veröffentlichten Analyse.

Die fraglichen Apps zielten auf Benutzer in Brasilien, Spanien und den USA ab, wobei die meisten von ihnen zwischen 1.000 und 5.000 Installationen erreichten. Eine andere App namens DefenseScreen erreichte 10.000 Installationen, bevor sie letztes Jahr aus dem Play Store entfernt wurde.

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

BRATA (kurz für “Brazilian Remote Access Tool Android”) wurde erstmals im August 2019 von Kaspersky dokumentiert und entpuppte sich als brasilianische Malware mit Bildschirmaufzeichnungsfähigkeiten, bevor sie sich nach und nach in einen Banking-Trojaner verwandelte.

[Blocked Image: https://thehackernews.com/images/-ERtgAi5ESMo/YHU8Xvjg_wI/AAAAAAAACPw/3QjUsoQra8A4ZEecbU3awme_zvFEe55YgCLcBGAsYHQ/s0/malware.jpg]

“Er kombiniert vollständige Gerätekontrollfunktionen mit der Fähigkeit, Phishing-Webseiten anzuzeigen, die Bankdaten stehlen, zusätzlich zu Fähigkeiten, die es ihm ermöglichen, Anmeldeinformationen für die Bildschirmsperre (PIN, Passwort oder Muster) zu erfassen, Tastenanschläge zu erfassen (Keylogger-Funktionalität) und den Bildschirm des infizierten Geräts aufzuzeichnen, um die Aktionen eines Benutzers ohne dessen Zustimmung zu überwachen”, so die McAfee-Forscher Fernando Ruiz und Carlos Castillo.

Die Apps, die die Backdoor verbreiten, warnen ahnungslose Benutzer vor einem Sicherheitsproblem auf ihren Geräten und fordern sie auf, ein gefälschtes Update einer bestimmten App zu installieren (z. B. Google Chrome, WhatsApp und eine nicht existierende PDF-Reader-App), um das Problem zu beheben.

Sobald das Opfer der Installation der App zustimmt, bittet BRATA um die Erlaubnis, auf den Zugriffsdienst des Geräts zuzugreifen, und missbraucht diesen, um die PIN des Sperrbildschirms (oder das Passwort/Muster) zu erfassen, Tastenanschläge aufzuzeichnen, Screenshots zu machen und sogar den Google Play Store zu deaktivieren.

[Blocked Image: https://thehackernews.com/images/-P7kvKFVSqWU/YGXEz3gk_tI/AAAAAAAA3uY/qiCyRaK_IA07iGtzVQCOTsnjHTYGR_gKgCLcBGAsYHQ/s728-e100/thn-728-2.png]

Durch das Deaktivieren der Play Store-App soll auch Play Protect deaktiviert werden, eine Funktion, die präventiv eine Sicherheitsüberprüfung von Apps durchführt, bevor sie aus dem App Store heruntergeladen werden, und Android-Geräte routinemäßig auf potenziell schädliche Apps scannt und diese entfernt.

Interessanterweise sind die neuen Versionen von BRATA mit zusätzlichen Verschleierungs- und Verschlüsselungsschichten ausgestattet und verlagern zudem den Großteil der Kernfunktionen auf einen vom Angreifer kontrollierten Server, was es den Angreifern wiederum ermöglicht, die Malware einfach zu aktualisieren und die Geräte, auf denen sie installiert wurde, auszunutzen, während sie unter dem Radar bleiben.

[Blocked Image: https://thehackernews.com/images/-F1Bu549CIE8/YHU-cHm_hnI/AAAAAAAACQA/MKes-bHENNg9QFuVG7cSj2GQJx0CJVl8wCLcBGAsYHQ/s0/mobile-hacking.jpg]

“BRATA ist nur ein weiteres Beispiel dafür, wie mächtig die (missbräuchliche) Nutzung von Zugangsdiensten ist und wie Cyberkriminelle mit ein wenig Social Engineering und Hartnäckigkeit Benutzer dazu bringen können, diesen Zugang zu einer bösartigen App zu gewähren und im Grunde die totale Kontrolle über das infizierte Gerät zu erlangen”, so das Fazit der Forscher.

“Durch den Diebstahl der PIN, des Passworts oder des Musters, kombiniert mit der Möglichkeit, den Bildschirm aufzuzeichnen, auf jede beliebige Schaltfläche zu klicken und alles abzufangen, was in ein bearbeitbares Feld eingegeben wird, können Malware-Autoren praktisch alle Daten erhalten, die sie wollen, einschließlich Bankdaten über Phishing-Webseiten oder sogar direkt von den Apps selbst, während sie alle diese Aktionen auch vor dem Benutzer verbergen.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com