SharkBot – Ein neuer Android-Trojaner, der Bank- und Kryptowährungskonten stiehlt

  • Cybersecurity-Forscher haben am Montag einen neuen Android-Trojaner enthüllt, der die Zugriffsfunktionen der Geräte ausnutzt, um Anmeldedaten von Bank- und Kryptowährungsdiensten in Italien, Großbritannien und den USA abzugreifen.

    Die von Cleafy als “SharkBot” bezeichnete Malware wurde entwickelt, um mindestens seit Ende Oktober 2021 insgesamt 27 Ziele anzugreifen – darunter 22 ungenannte internationale Banken in Italien und Großbritannien sowie fünf Kryptowährungs-Apps in den USA – und befindet sich vermutlich in einem frühen Entwicklungsstadium, wobei keine Überschneidungen mit bekannten Familien festgestellt wurden.

    [Blocked Image: https://thehackernews.com/images/-SmHk9U6ikBk/YVHUUpxrNfI/AAAAAAAA4ac/xluSCU7878ErhlmIN9mj9pKf9fr3LTBwACLcBGAsYHQ/s300-e100/rewind-3-300.png]

    “Das Hauptziel von SharkBot ist es, Geldtransfers von den kompromittierten Geräten über Automatic Transfer Systems (ATS)-Techniken unter Umgehung von Multi-Faktor-Authentifizierungsmechanismen (z. B. SCA) zu initiieren”, so die Forscher in einem Bericht.

    “Sobald SharkBot erfolgreich auf dem Gerät des Opfers installiert ist, können Angreifer durch den Missbrauch von Zugangsdiensten sensible Bankdaten wie Anmeldedaten, persönliche Informationen, den aktuellen Kontostand usw. abrufen, aber auch Gesten auf dem infizierten Gerät ausführen.”

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEjRDu2eV8vdito7O490tR9QPDlvGXtwv7o4s3cbu06VWcYLh734ZSij5QZEvorumlVB0kanmOSRQI6M3J2QgS8vmJFmodHwwJ1IJULC3STPCc3StJbl0Mr9lwlAQvHX4NPKQshKchHAdkXJM0wqO1wCdCwRTgiWa0MgUiTEkH1tt-6SgFqNNxvgbLEP]

    SharkBot gibt sich als Media Player, Live-TV oder Datenwiederherstellungs-Applikation aus und fordert die Benutzer wie seine Malware-Kollegen TeaBot und UBEL immer wieder mit bösartigen Pop-ups auf, ihm weitreichende Rechte zu gewähren, nur um sensible Daten zu stehlen. Das Besondere an SharkBot ist die Ausnutzung von Zugriffseinstellungen zur Durchführung von ATS-Angriffen, die es den Betreibern ermöglichen, “Felder in legitimen Mobile-Banking-Apps automatisch auszufüllen und Geldtransfers von den kompromittierten Geräten an ein von den Angreifern kontrolliertes Geldkurier-Netzwerk zu veranlassen. [threat actor].”

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEhv5jYk-CugB19uK1BPmfA6UPDy9JqBp96Jr_nYSY0B9kojH6plmstVsdUJS8BKjhp5aYd9XhXdOxlyO8kZT0WWKdbf9HD_tSyrqCW6inf-6dWn_xwAdHqaKfBHRws8HUTjI-MMCtaz79BpbEwThOn5BS-M-2r487jL0knLTHsJLPDPM_cG7G3k1-y5]

    Dieser Modus Operandi macht die Anmeldung eines neuen Geräts für betrügerische Aktivitäten überflüssig und umgeht gleichzeitig die Zwei-Faktor-Authentifizierungsmechanismen, die von den Bankanwendungen eingerichtet wurden.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    Darüber hinaus verfügt die Malware über alle Funktionen, die mittlerweile bei allen Android-Bank-Trojanern zu beobachten sind, wie z. B. die Fähigkeit, Overlay-Angriffe durchzuführen, um Anmeldedaten und Kreditkarteninformationen zu stehlen, legitime Bankkommunikation per SMS abzufangen, Keylogging zu aktivieren und die vollständige Fernsteuerung der kompromittierten Geräte zu erlangen.

    SharkBot zeichnet sich auch durch die Maßnahmen aus, die er ergreift, um sich der Analyse und Erkennung zu entziehen. Dazu gehören die Durchführung von Emulatorprüfungen, die Verschlüsselung der Befehls- und Kontrollkommunikation mit einem Remote-Server und das Verstecken des Symbols der Anwendung auf dem Startbildschirm nach der Installation. Im offiziellen Google Play Store wurden keine Muster der Malware entdeckt, was darauf schließen lässt, dass die bösartigen Apps entweder per Sideloading oder über Social-Engineering-Methoden auf den Geräten der Nutzer installiert werden.

    Die Entdeckung von SharkBot in freier Wildbahn zeigt, “wie mobile Malware schnell neue Wege findet, um Betrug zu begehen, indem sie versucht, Gegenmaßnahmen zur Verhaltenserkennung zu umgehen, die in den letzten Jahren von mehreren Banken und Finanzdiensten eingeführt wurden”, so die Forscher.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com