Bizarro-Bankentrojaner mit ausgeklügelter Backdoor

Cyber Security News

Die fortschrittliche brasilianische Malware hat sich weltweit verbreitet und sammelt Bank-Logins von Android-Mobilanwendern ein.

Ein nie zuvor dokumentierter brasilianischer Banking-Trojaner, genannt Bizarro, zielt auf Kunden von 70 Banken in Europa und Südamerika ab, so Forscher.

Laut einer am Montag veröffentlichten Analyse von Kaspersky handelt es sich bei Bizarro um eine mobile Malware, die darauf abzielt, Online-Banking-Zugangsdaten abzufangen und Bitcoin-Brieftaschen von Android-Benutzern zu kapern. Es verbreitet sich über Microsoft Installer-Pakete, die entweder direkt von Opfern über Links in Spam-E-Mails heruntergeladen oder über eine trojanisierte App installiert werden, so die Analyse.

Nach der Installation werden alle laufenden Browser-Prozesse beendet, um alle bestehenden Sitzungen mit Online-Banking-Websites zu beenden – wenn ein Benutzer also eine mobile Banking-Sitzung initiiert, muss er sich erneut anmelden, was der Malware ermöglicht, die Details zu sammeln. Um seinen Erfolg zu maximieren, deaktiviert Bizarro die Autovervollständigung im Browser und zeigt sogar gefälschte Popups an, um Codes für die Zwei-Faktor-Authentifizierung abzugreifen, so die Forscher weiter.

Bizarro hat auch einen Bildschirm-Capturing-Modul.

“Es lädt die Bibliothek magnification.dll und holt sich die Adresse der veralteten API-Funktion MagSetImageScalingCallback”, erklären die Kaspersky-Forscher. “Mit ihrer Hilfe kann der Trojaner den Bildschirm eines Anwenders erfassen und auch die Systemzwischenablage ständig überwachen und nach einer Bitcoin-Wallet-Adresse suchen. Findet er eine, wird sie durch eine Wallet ersetzt, die den Malware-Entwicklern gehört.”

Und schließlich hat Bizarro auch ein Haupt-Backdoor-Modul, das in der Lage ist, mehr als 100 Befehle auszuführen, laut der Analyse.

Eine voll funktionsfähige Backdoor

“Die Kernkomponente der Backdoor startet erst, wenn Bizarro eine Verbindung zu einem der fest kodierten Online-Banking-Systeme erkennt”, erklären die Forscher. “Die Malware tut dies, indem sie alle Fenster aufzählt und deren Namen sammelt. Leerzeichen, Buchstaben mit Akzenten (wie ñ oder á) und Nicht-Buchstaben-Symbole wie Bindestriche werden aus den Fensternamen entfernt. Wenn ein Fenstername mit einer der hartkodierten Zeichenketten übereinstimmt, fährt die Backdoor mit dem Startvorgang fort.”

Die Befehle fallen in ein paar Hauptlager: Befehle, die es den Command-and-Control (C2)-Betreibern ermöglichen, Daten über das Opfer zu erhalten und den Verbindungsstatus zu verwalten; zum Beispiel fragt man nach der Version von Bizarro, dem Namen des Betriebssystems, dem Computernamen, der eindeutigen Kennung von Bizarro, der installierten Antivirensoftware und dem Codenamen, der für die Bank verwendet wird, auf die zugegriffen wurde. Befehle, die es Angreifern ermöglichen, die Dateien auf der Festplatte des Opfers zu suchen und zu stehlen, und solche, die es Gegnern ermöglichen, Dateien auf dem Gerät des Opfers zu installieren. Befehle, die es Angreifern ermöglichen, die Maus und Tastatur des Benutzers zu steuern. Befehle, die es den Angreifern ermöglichen, den Backdoor-Betrieb zu steuern, das Betriebssystem herunterzufahren, neu zu starten oder zu zerstören und die Funktionalität von Windows einzuschränken. Befehle, die Tastatureingaben protokollieren. Befehle, die verschiedene Meldungen anzeigen, die Benutzer dazu verleiten, Angreifern Zugriff auf Bankkonten zu gewähren, einschließlich gefälschter Popup-Fenster (d. h. Meldungen wie “die eingegebenen Daten sind falsch, bitte versuchen Sie es erneut”; Fehlermeldungen, die den Benutzer zur Eingabe eines Bestätigungscodes auffordern; und solche, die dem Benutzer mitteilen, dass sein Computer neu gestartet werden muss, um einen sicherheitsrelevanten Vorgang abzuschließen). Befehle, die es Bizarro ermöglichen, Online-Banking-Systeme zu imitieren. Laut Kaspersky “muss Bizarro, um solche Meldungen anzuzeigen, ein JPEG-Bild herunterladen, das das Banklogo und Anweisungen enthält, die das Opfer befolgen muss. Diese Bilder werden im Verzeichnis des Benutzerprofils in verschlüsselter Form gespeichert. Bevor ein Bild in einer Nachricht verwendet wird, wird es mit einem Multi-Byte-XOR-Algorithmus entschlüsselt. Da die Nachrichten vom C2-Server heruntergeladen werden, können sie nur auf den Rechnern der Opfer gefunden werden.” Befehle, die benutzerdefinierte Nachrichten aktivieren.

“Die benutzerdefinierten Nachrichten, die Bizarro anzeigen kann, sind Nachrichten, die den Rechner des Opfers einfrieren und so den Angreifern ermöglichen, etwas Zeit zu gewinnen”, heißt es in der Analyse. “Wenn ein Befehl zur Display einer solchen Nachricht empfangen wird, wird die Taskleiste ausgeblendet, der Bildschirm wird ausgegraut und die Nachricht selbst wird angezeigt. Während die Meldung angezeigt wird, kann der Benutzer sie nicht schließen oder den Task-Manager öffnen. Die Meldung selbst teilt dem Benutzer entweder mit, dass das System kompromittiert ist und daher aktualisiert werden muss, oder dass Sicherheits- und Browser-Leistungskomponenten installiert werden. Diese Art von Meldung enthält auch einen Fortschrittsbalken, der sich mit der Zeit verändert.”

Einstieg in den Tétrade, Going Global

Bizarro ist in Argentinien, Chile, Frankreich, Deutschland, Italien, Portugal und Spanien aktiv, so die Forscher. Diese globale Verbreitung ist typisch für eine Gruppe von Banking-Malware-Stämmen, die ihren Ursprung in Brasilien haben, bestehend aus Grandoreiro, Guildma, Javali und Melcoz.

Gemeinsam bekannt als “die Tétrade” (übersetzt als “eine Gruppe von vier”) setzen diese Familien eine Reihe innovativer und ausgefeilter Techniken auch auf der technischen Seite ein. Bizarro ist der jüngste im Bunde (was den kollektiven Gruppennamen übrigens ein wenig zu einer Fehlbezeichnung macht).

[Blocked Image: https://alltechnews.de/daten/2021/05/Bizarro-Bankentrojaner-mit-ausgekluegelter-Backdoor.png]

Quelle: Kaspersky

Die Forscher sagten, dass Bizarro von einer ziemlich umfangreichen Operation unterstützt wird, zu der auch der Einsatz von Tochtergesellschaften und die Rekrutierung von Geldkurieren gehört, die eine Vielzahl von Aufgaben übernehmen. Zu den verschiedenen Aufgaben gehören die Durchführung erster Angriffe, um auf den Geräten der Opfer Fuß zu fassen; Hilfe bei Auszahlungen, um unrechtmäßig erworbene Gelder zu waschen; und sogar Hilfe bei Übersetzungen.

“Cyberkriminelle suchen ständig nach neuen Wegen, um Malware zu verbreiten, die Anmeldeinformationen für E-Payment- und Online-Banking-Systeme stiehlt”, so Fabio Assolini, Sicherheitsexperte bei Kaspersky, in einer Stellungnahme. “Heute beobachten wir einen neuen Trend bei der Verbreitung von Banking-Malware: Regionale Akteure greifen Nutzer aktiv an, nicht nur in ihrer Region, sondern rund um den Globus. Durch die Implementierung neuer Techniken haben brasilianische Malware-Familien begonnen, sich auf anderen Kontinenten zu verbreiten, und Bizarro, das auf Benutzer aus Europa abzielt, ist das deutlichste Beispiel dafür. Dies sollte ein Zeichen dafür sein, dass der Analyse regionaler Krimineller und lokaler Bedrohungsdaten mehr Bedeutung beigemessen werden sollte, denn schon bald könnte dies zu einem Problem von globaler Bedeutung werden.”

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware”, um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com