Gleich sieben bösartige Android-Apps, die im Google Play Store entdeckt wurden, gaben sich als Antivirenlösungen aus, um einen Banking-Trojaner namens SharkBot zu installieren.
„SharkBot stiehlt Anmeldedaten und Bankinformationen“, so die Check Point-Forscher Alex Shamshur und Raman Ladutska in einem Bericht, der The Hacker News vorliegt. „Diese Malware implementiert eine Geofencing-Funktion und Umgehungstechniken, wodurch sie sich von anderen Malwares abhebt.“
Die Malware zielt insbesondere darauf ab, Benutzer aus China, Indien, Rumänien, Russland, der Ukraine und Weißrussland zu ignorieren. Die betrügerischen Apps sollen vor ihrer Entfernung mehr als 15.000 Mal installiert worden sein, wobei sich die meisten Opfer in Italien und Großbritannien befinden.
Der Bericht ergänzt frühere Erkenntnisse der NCC Group, die feststellte, dass der Bankbot sich als Antiviren-Anwendung ausgab, um unerlaubte Transaktionen über automatische Überweisungssysteme (ATS) auszuführen.
SharkBot nutzt die Berechtigungen der Zugriffsdienste, um gefälschte Overlay-Fenster über legitime Bankanwendungen zu legen. Wenn ahnungslose Benutzer ihre Benutzernamen und Kennwörter in die Fenster eingeben, die harmlose Formulare zur Eingabe von Anmeldeinformationen imitieren, werden die erfassten Daten an einen bösartigen Server gesendet.
Eine neue bemerkenswerte Funktion von SharkBot ist die Fähigkeit, automatisch auf Benachrichtigungen von Facebook Messenger und WhatsApp zu antworten, um einen Phishing-Link an die Antiviren-App zu senden und so die Malware wurmartig zu verbreiten. Eine ähnliche Funktion wurde Anfang Februar dieses Jahres in FluBot integriert.
Die neuesten Erkenntnisse kommen, nachdem Google am 25. März Maßnahmen ergriffen hat, um 11 Apps aus dem Play Store zu verbannen, nachdem sie dabei erwischt wurden, wie sie ein invasives SDK eingebaut haben, um diskret Nutzerdaten zu sammeln, einschließlich genauer Standortinformationen, E-Mail- und Telefonnummern, Geräte in der Nähe und Passwörter.
„Bemerkenswert ist hier auch, dass die Bedrohungsakteure Nachrichten mit bösartigen Links an die Opfer schicken, was zu einer weit verbreiteten Annahme führt“, so Alexander Chailytko, Cyber Security, Research and Innovation Manager bei Check Point Software.
„Alles in allem ist die Verwendung von Push-Nachrichten durch die Bedrohungsakteure, die eine Antwort von den Nutzern verlangen, eine ungewöhnliche Verbreitungsmethode.“
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com