Mobile Adware boomt, Online-Banken werden zum Hauptziel für Angriffe

Cyber Security News

Eine Momentaufnahme der mobilen Bedrohungslandschaft 2020 zeigt große Verschiebungen in Richtung Adware und Bedrohungen für Online-Banken.

Hacker malten 2020 ein Bullseye auf den Rücken von Online-Finanzinstituten, als die Pandemie lokale Filialen schloss und Kunden zwang, online zu gehen. In den letzten 12 Monaten haben sich die Vorfälle mit Adware fast verdreifacht. Und insgesamt verzeichneten die Forscher im Jahr 2020 einen leichten Rückgang bei den mobilen Cyberangriffen, so ein am Montag veröffentlichter Bericht von Kaspersky.

In dem Bericht “Mobile Malware Evolution 2020” dokumentiert Kaspersky die aktuelle mobile Bedrohungslandschaft und identifiziert Trends für die mobile Sicherheit im Jahr 2021. Der Bericht stellt fest, dass die mobilen Bedrohungen im vergangenen Jahr zwar leicht zurückgegangen sind, die Kriminellen sich jedoch auf die Qualität der mobilen Angriffe im Vergleich zu Masseninfektionen konzentriert haben.

“Wir haben in der ersten Jahreshälfte einen Rückgang der Zahl der Angriffe gesehen, was auf die Verwirrung der ersten Monate der Pandemie zurückzuführen ist”, schreibt Victor Chebyshev, Mobile Security Researcher bei Kaspersky und Autor des Berichts. “Die Angreifer hatten andere Dinge, um die sie sich kümmern mussten [and] und waren in der zweiten Hälfte wieder am Werk.”Was sind die größten mobilen Bedrohungen?

Der führende mobile Bedrohungstyp im Jahr 2020 ist Adware, die 57 Prozent der Angriffe ausmacht. An zweiter Stelle stehen Risiko-Tools, die 21 Prozent der Angriffe ausmachen. Trojaner-Dropper und mobile Trojaner machten jeweils 4,5 Prozent der Angriffe aus und SMS-basierte Trojaner machten 4 Prozent der tatsächlichen mobilen kriminellen Aktivitäten aus.

Risiko-Tools, wie Kaspersky sie nennt, sind potenziell gefährliche oder unerwünschte Programme, die nicht von Natur aus bösartig sind, aber zum Verstecken von Dateien oder Beenden von Anwendungen verwendet werden und in böswilliger Absicht eingesetzt werden könnten.

Jede der vorgenannten Bedrohungen, mit Ausnahme von Adware, verzeichnete einen starken Rückgang der Angriffszahlen. Im Vergleich zu 2019 stiegen die Adware-Angriffe gegen mobile Benutzer von 22 Prozent der Angriffe auf 57 Prozent aller Arten von mobilen Bedrohungen.

Die beliebteste Adware im Jahr 2020?

Zu den führenden Adware-Familien gehörte Ewind (mit 65 Prozent der gefundenen Adware-Samples), gefolgt von FakeAdBlocker (mit 15 Prozent der Samples) und gefolgt von HiddenAd (mit 10 Prozent der Samples).

Wie wurde die Adware Ewind so mächtig?

Die Forscher führen den Erfolg von Ewind auf die fast 2 Millionen Ewind.kp Android-Installationspakete zurück, die erfolgreich in legitimen Anwendungen gebündelt wurden, wie z. B. in Icons und Ressourcendateien. Diese scheinbar harmlosen Downloads, so Tschebyschow, sind auf scheinbar vertrauenswürdigen Download-Seiten für Android-Anwendungen von Drittanbietern leicht erhältlich.

Mit welcher mobilen Malware hat Apples iOS zu kämpfen?

Im Gegensatz zu Android-Handys stellte das geschlossene Hardware- und Software-Ökosystem von Apple Kriminelle vor einzigartige Herausforderungen, was sie jedoch nicht vollständig abschreckte.

Die größte Bedrohung für die zahlreichen mobilen Geräte von Apple – einschließlich der iPhone- und iPad-Linien – sind Drive-by-Downloads, die die WebKit genannte Rendering-Engine des Safari-Browsers des Unternehmens missbrauchen, so Kaspersky.

“Im Jahr 2020 entdeckten unsere Kollegen von TrendMicro die Verwendung von Apple WebKit-Exploits zur Remote-Code-Ausführung (RCE) in Verbindung mit Exploits zur lokalen Privilegieneskalation, um Malware auf ein iOS-Gerät zu bringen”, schrieb Tschebyschew.

“Die Nutzlast war der LightSpy-Trojaner, dessen Ziel es war, persönliche Informationen von einem mobilen Gerät zu extrahieren, einschließlich Korrespondenz aus Instant-Messaging-Apps und Browserdaten, Screenshots zu machen und eine Liste von nahegelegenen Wi-Fi-Netzwerken zu erstellen”, schrieb er.

Die iOS-Malware LightSpy hat einen modularen Aufbau. “Eines der entdeckten Module war ein Netzwerkscanner, der Informationen über Geräte in der Nähe sammelte, einschließlich ihrer MAC-Adressen und Herstellernamen. TrendMicro zufolge nutzte die Verbreitung von LightSpy Nachrichtenportale, wie z. B. COVID-19-Update-Seiten”, heißt es in dem Bericht.

Was sind die häufigsten Android-Trojaner im Jahr 2020?

Beliebte Malware-Familien, die es im Jahr 2020 auf das Android-Betriebssystem abgesehen haben, waren die Banking-Trojaner GINP, Cebruser, Ghimob und Cookiethief.

“Der Trojaner Ghimob war eine der aufregendsten Entdeckungen des Jahres 2020”, heißt es in dem Kaspersky-Bericht. “Er stahl Anmeldedaten für verschiedene Finanzsysteme, darunter Online-Banking-Anwendungen und Kryptowährungs-Wallets in Brasilien.”

Der Trojaner war rudimentär, aber effektiv, und missbrauchte die Android-Barrierefreiheit mit einem gängigen mobilen Overlay-Schema.

“Immer wenn der Benutzer versuchte, auf das Ghimob-Entfernungsmenü zuzugreifen, öffnete der Trojaner sofort den Startbildschirm, um sich vor der Deinstallation zu schützen”, heißt es in dem Bericht.

Cookiethief Android-Trojaner missbraucht Cookies

Was die Cookiethief-Malware betrifft, so sagten die Forscher, dass der Trojaner auf mobile Cookies abzielt, die eindeutige Identifikatoren von Web-Sitzungen speichern und somit zur Autorisierung verwendet werden können. “Ein Angreifer könnte sich zum Beispiel in das Facebook-Konto eines Opfers einloggen und einen Phishing-Link posten oder Spam verbreiten. Normalerweise werden Cookies auf einem mobilen Gerät an einem sicheren Ort gespeichert und sind für Anwendungen unzugänglich, selbst für böswillige Anwendungen. Um diese Einschränkung zu umgehen, versuchte Cookiethief mit Hilfe eines Exploits Root-Rechte auf dem Gerät zu erlangen, bevor er mit seinen bösartigen Aktivitäten begann”, schrieb der Forscher.

Im Jahr 2020 gab es ein signifikantes Wachstum bei mobilen Finanzbedrohungen.

“Wir haben im Jahr 2020 156.710 Installationspakete für mobile Banking-Trojaner entdeckt, das ist doppelt so viel wie im Vorjahr und vergleichbar mit 2018”, schreibt Kaspersky.

Spitzenreiter unter den Banking-Trojanern war Agent (72 Prozent der Infektionen), gefolgt von einer langen Liste von Banking-Trojanern mit einstelligen Infektionszahlen, darunter Wroba, Rotexy und Anubis.

Das Interesse, Finanzinstitute ins Visier zu nehmen, hängt mit der Pandemie zusammen, so die Forscher. “Die Unfähigkeit, eine Bankfiliale zu besuchen, zwang die Kunden, auf mobiles und Online-Banking umzusteigen, und die Banken, die Entwicklung dieser Dienste zu verstärken”, schrieben sie.

Auf der hellen Seite: Vorfälle von Mobile Ransomware Plummet

“Insgesamt kann der Rückgang von Ransomware mit der Annahme in Verbindung gebracht werden, dass die Angreifer von Ransomware auf Banker umgestiegen sind oder die Funktionen von beidem kombiniert haben. Aktuelle Versionen von Android verhindern, dass Anwendungen den Bildschirm sperren, sodass selbst eine erfolgreiche Ransomware-Infektion nutzlos ist”, so die Forscher.

Wie arbeiten Adware- und Malware-Kriminellenbanden zusammen?

Es ist unklar, wie neu der Trend ist, aber der Kaspersky-Bericht bot Einblicke in die selten beschriebene symbiotische Beziehung zwischen Adware-Pusher und denjenigen, die hinter Malware-Infektionen stecken.

“Adware-Ersteller sind daran interessiert, die Entfernung ihrer Produkte von einem mobilen Gerät zu behindern. Um dies zu erreichen, arbeiten sie in der Regel mit Malware-Entwicklern zusammen. Ein Beispiel für eine solche Partnerschaft ist der Einsatz verschiedener Trojaner-Botnets: Wir haben im Jahr 2020 eine Reihe dieser Fälle gesehen”, heißt es in dem Bericht.

Die für beide Seiten vorteilhafte Beziehung beginnt mit Bots, die mobile Geräte infizieren.

“Sobald die Besitzer des Botnetzes und ihre [criminal] Kunden eine Vereinbarung getroffen haben, erhält der Bot den Befehl, eine Nutzlast, in diesem Fall Adware, herunterzuladen, zu installieren und auszuführen. Wenn das Opfer von der unerwünschten Werbung genervt ist und die Quelle entfernt, wird der Bot die Schritte einfach wiederholen”, skizziert der Bericht.

Diese Infektionen können manchmal auch dazu führen, dass “die Zugriffsrechte auf dem Gerät erhöht werden, die Adware im Systembereich platziert wird und der Benutzer nicht in der Lage ist, sie ohne fremde Hilfe zu entfernen”, heißt es.

Wie Android Gear kommt mit Malware vorinstalliert?

Ein weiteres Beispiel für die Partnerschaft zwischen weniger seriösen Akteuren ist ein Schema namens “Vorinstallation”. Dies ist, wenn der Hersteller des Telefons eine Adware-Anwendung oder eine Komponente mit der Firmware vorlädt.

“Das Ergebnis ist, dass das Gerät bereits infiziert in die Regale kommt. Es handelt sich nicht um einen Angriff in der Lieferkette, sondern um einen vorsätzlichen Schritt des Herstellers, für den er zusätzliche Gewinne erhält”, erklärt Kaspersky.

Die Forscher erklären, dass diese Infektion besonders schwer, wenn nicht gar unmöglich, zu impfen ist.

“[N]ine Sicherheitslösung ist bisher nicht in der Lage, eine Systempartition des Betriebssystems auszulesen, um zu prüfen, ob das Gerät infiziert ist. Selbst wenn die Erkennung erfolgreich ist, wird der Benutzer mit der Bedrohung allein gelassen, ohne eine Möglichkeit, die Malware schnell oder einfach zu entfernen, da Android-Systempartitionen schreibgeschützt sind. Dieser Vektor zur Verbreitung von persistenten Bedrohungen wird wahrscheinlich immer beliebter, da es keine neuen effektiven Exploits für gängige Android-Versionen gibt”, so der Bericht.

Einige Teile dieses Artikels stammen aus:
threatpost.com