Neue Android-Malware zielt auf Kunden der brasilianischen Itaú Unibanco Bank

  • Forscher haben eine neue Android-Banking-Malware entdeckt, die auf die brasilianische Itaú Unibanco abzielt und mit Hilfe von ähnlich aussehenden Google Play Store-Seiten betrügerische Finanztransaktionen auf den Geräten der Opfer ohne deren Wissen durchführt.

    “Diese Anwendung hat ein ähnliches Symbol und einen ähnlichen Namen, die den Nutzern vorgaukeln können, dass es sich um eine legitime App von Itaú Unibanco handelt”, so die Cyble-Forscher in einem letzte Woche veröffentlichten Bericht. “Die [threat actor] hat eine gefälschte Google Play Store-Seite erstellt und die Malware, die auf Itaú Unibanco abzielt, dort unter dem Namen ‘sincronizador.apk’ gehostet.”

    [Blocked Image: https://thehackernews.com/images/-b2ieWo0PeVw/YVHQq_NfHwI/AAAAAAAA4Z8/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ/s728-e100/rewind-2-728.png]

    Die Taktik, gefälschte App-Store-Seiten als Köder zu nutzen, ist nicht neu. Im März veröffentlichte Meta (vormals Facebook) Details einer Angriffskampagne, bei der seine Plattform als Teil einer umfassenderen Operation genutzt wurde, um uigurische Muslime auszuspionieren. Dabei wurden betrügerische Websites von Drittanbietern verwendet, die Replika-Domains beliebter Nachrichtenportale und Websites, die so gestaltet waren, dass sie Android-App-Stores von Drittanbietern ähnelten, auf denen die Angreifer gefälschte Tastatur-, Gebets- und Wörterbuch-Apps einstellten, die den Zielpersonen gefallen könnten.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEg3izivW1H9SeCVOhH12iml36iCfrBsADEg7kSutNQahtbRVAAH3NsBe6IaDATLRO0ODeGXulJR92vOKvlLQ_bHwAADlCd9jll-cOoKuS_LhrDC4WkSxX02pttIfkT-qcHV3wDd87-IqWJslzj2GOXcA8nLU6xolugMV0ssuekB2iJjKbJBm6Sf5wsGlw=s728-e1000]

    Im jüngsten Fall, der von Cyble beobachtet wurde, gibt sich die gefälschte URL nicht nur als offizieller Android-App-Marktplatz aus, sondern hostet auch die mit Malware verseuchte Itaú Unibanco-Anwendung und behauptet, dass die App bereits 1.895.897 Mal heruntergeladen wurde.

    Benutzer, die die gefälschte App von der vermeintlichen Google Play Store-Seite aus installieren und starten, werden anschließend aufgefordert, Eingabehilfedienste sowie andere aufdringliche Berechtigungen zu aktivieren, die es der Malware ermöglichen, auf Benachrichtigungen zuzugreifen, Fensterinhalte abzurufen und Tipp- und Wischgesten auszuführen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgX1gDcM3NJ7zFIjh2jy_YjPVvQV-OXmjPoUNQ5e-4V05t95bJZjKKE8s8zCu6HcSbiNZlBWTDqjFtGlcNvkPu1bdFL3iwot1BI28jkqbfRmwmMWy4-ZqVBMdE1cnIiLTiCUnWYnIDLmQd_sAu3tfIn4vqXVTD_545AbcLymn536FoMwRzJh8yA6hWEdw=s728-e100]

    Den Forschern zufolge zielt der Trojaner darauf ab, betrügerische Finanztransaktionen über die legitime Itaú Unibanco-Anwendung durchzuführen, indem er die Eingabefelder des Benutzers manipuliert. Damit reiht er sich in eine lange Liste von Banking-Malware ein, die die Accessibility-API missbraucht. Google hat seinerseits begonnen, neue Beschränkungen einzuführen, um die Verwendung solcher Berechtigungen einzuschränken, die es Apps ermöglichen, sensible Informationen von Android-Geräten zu erfassen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEjJVzuw9CoV0ST3KyRyTw6gDIANzzjs19Lc7dpOwcisYR_uFUnyo_YgPMh3sDhaC4yv1lBhIvaTvYnCHULmBurIDeXEAV7OqgzLb9qV77ZjGJldFCcQW7whD3tLYIHEM5KNcJnqT8j7SURV_2VzCZ0Nx_cnzZtH9O9orx0fhOo9ATsA1lNLhiyyrTQYZw]

    Dies ist bei weitem nicht das erste Mal, dass das in Sao Paulo ansässige Finanzdienstleistungsunternehmen ins Visier von finanziell motivierten Bedrohungsgruppen gerät. Anfang April dieses Jahres enthüllte ESET einen neuen Banking-Trojaner mit dem Namen Janeleiro, der mindestens seit 2019 bei Unternehmensanwendern in Brasilien in verschiedenen Sektoren wie Technik, Gesundheitswesen, Einzelhandel, Produktion, Finanzen, Transport und Regierung beobachtet wurde.

    “Bedrohungsakteure passen ihre Methoden ständig an, um einer Entdeckung zu entgehen, und finden neue Wege, um Nutzer mit immer ausgefeilteren Techniken anzugreifen. Solche bösartigen Anwendungen geben sich oft als legitime Anwendungen aus, um die Nutzer zur Installation zu verleiten”, so die Forscher.

    “Um solche Angriffe zu vermeiden, sollten Nutzer Anwendungen erst installieren, nachdem sie deren Echtheit überprüft haben, und sie ausschließlich aus dem offiziellen Google Play Store und anderen vertrauenswürdigen Portalen installieren.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com