Thought Leadership
Zimperium identifiziert vier neue Android-Banking-Trojaner. Über 800 Finanz- und Krypto-Apps weltweit sind betroffen.
Das Sicherheitsunternehmens Zimperium hat neue Details zu einer Serie koordinierter Angriffe auf Android-Nutzer veröffentlicht. Die Experten identifizierten vier aktive Malware-Familien mit den Bezeichnungen RecruitRat, SaferRat, Astrinox und Massiv. Diese Trojaner zielen global auf mehr als 800 Applikationen ab, die den Bereichen Finanzwesen, Kryptowährungen und soziale Medien zuzuordnen sind. Die Untersuchung verdeutlicht, dass die Entwickler dieser Schadprogramme den Fokus weg vom einfachen Diebstahl von Zugangsdaten hin zu einer umfassenden Fernsteuerung der infizierten Geräte verschoben haben.
Die technischen Analysen zeigen, dass die Angreifer robuste Infrastrukturen für die Steuerung und Befehlsausgabe nutzen. Diese sogenannten Command-and-Control-Frameworks ermöglichen es, betroffene Geräte in Echtzeit zu überraschen, Daten zu exfiltrieren und Finanztransaktionen unbefugt einzuleiten. Dabei setzen die Malware-Familien auf eine Kombination aus technischer Umgehung von Sicherheitsmechanismen und psychologischer Manipulation der Nutzer.
Unterschiedliche Strategien bei der Verbreitung
Die untersuchten Kampagnen nutzen jeweils spezifische Wege, um auf die Endgeräte zu gelangen. RecruitRat verwendet vor allem gefälschte Jobportale und Rekrutierungsprozesse als Köder. Potenzielle Opfer werden auf Phishing-Webseiten gelockt, die professionellen Karriereplattformen nachempfunden sind. Dort werden sie dazu bewegt, eine bösartige APK-Datei herunterzuladen, die angeblich für den Bewerbungsprozess notwendig ist.
SaferRat hingegen verbreitet sich über Webseiten, die kostenlosen Zugang zu Premium-Streaming-Diensten oder bekannter Videosoftware versprechen. Astrinox wiederum tarnt sich als die Anwendung HireX. Interessant ist hierbei, dass die zugehörige Webseite xhire[.]cc den Gerätetyp erkennt. Während Android-Nutzer zum Download der Schadsoftware aufgefordert werden, erhalten iOS-Nutzer eine nachgeahmte Version des Apple App Stores, wobei für iOS bisher keine Infektionsindikatoren gefunden wurden. Bei der Familie Massiv konnte die primäre Verteilungsinfrastruktur im aktuellen Forschungszyklus nicht abschließend bestimmt werden, was auf eine Entkopplung der Lieferkette vom eigentlichen Schadcode hindeutet.
Installation und Umgehung der Android-Sicherheit
Ein zentraler Aspekt der neuen Trojaner-Generation ist die Nutzung der nativen Session Installation API von Android. Diese Methode wird verwendet, um die strengeren Sicherheitsvorgaben neuerer Android-Versionen bezüglich Sideloading und Bedienungshilfen zu umgehen. Die initial installierte App fungiert dabei oft nur als Träger für die eigentliche Schadlast, die tief in der Ordnerstruktur verborgen ist.
SaferRat täuscht beispielsweise ein Update des Google Play Stores vor, um das Vertrauen der Nutzer zu gewinnen. Sobald der Nutzer die Installation einleitet, fordert die Malware Zugriff auf die Barrierefreiheitsdienste an. Um zu verhindern, dass das Opfer diesen Vorgang versteht oder unterbricht, legt die Malware ein nicht interaktives, undurchsichtiges Overlay über den Bildschirm. Während der Nutzer quasi blind ist, erteilt sich das Programm automatisiert alle notwendigen Berechtigungen, wie den Zugriff auf Kontakte, SMS-Nachrichten und den Telefonstatus.
Um eine Deinstallation zu verhindern, setzen die Trojaner verschiedene Persistenzmechanismen ein. RecruitRat macht sich im System unsichtbar, indem es sein App-Icon durch ein transparentes Bild ersetzt. SaferRat hingegen überwacht die Systemeinstellungen. Sobald der Nutzer versucht, die App-Verwaltung aufzurufen, um das Programm zu löschen, fängt die Malware diese Interaktion ab und leitet den Nutzer zurück auf den Startbildschirm.
Fortgeschrittene Tarnung und Analyseabwehr
Die Entwickler investieren erheblichen Aufwand in die Verschleierung des Codes. Zimperium stellte fest, dass RecruitRat und SaferRat APK-Manipulationen auf ZIP-Ebene vornehmen. Sie nutzen nicht unterstützte Kompressionsmethoden oder abnormale Dateinamen, die dazu führen, dass gängige Analysewerkzeuge abstürzen. Das Android-Betriebssystem selbst bleibt gegen diese Anomalien bei der Ausführung jedoch resistent.
Zusätzlich werden sensible Zeichenfolgen und API-Aufrufe verschlüsselt und erst zur Laufzeit aufgelöst. Astrinox verschlüsselt den gesamten Kern seiner Payload mit AES/GCM und rekonstruiert diese erst im Arbeitsspeicher des Geräts. Massiv verfügt zudem über Mechanismen zur Erkennung der Ausführungsumgebung. Wenn die Malware feststellt, dass sie auf einem gerooteten Gerät oder in einer Analyse-Sandbox eines Sicherheitsunternehmens ausgeführt wird, bricht sie den Vorgang sofort ab, um keine auffälligen Spuren zu hinterlassen.
Mechanismen des Datendiebstahls
Sobald die Trojaner dauerhaft auf dem Gerät etabliert sind, beginnt die Ausspähung. Die Schadprogramme identifizieren gezielt installierte Bank- und Krypto-Apps. Sobald ein Nutzer eine solche Anwendung startet, wird ein Phishing-Overlay eingeblendet, das die originale Benutzeroberfläche exakt nachahmt. Der Nutzer gibt seine Anmeldedaten somit direkt in die Maske der Angreifer ein.
Zimperium konnte nachweisen, dass RecruitRat Overlays für über 700 verschiedene Anwendungen bereitstellen kann. Massiv nutzt HTML-basierte Overlays für 78 Banken und Krypto-Wallets, wobei die Angriffe geografisch auf die jeweilige Region des Nutzers zugeschnitten sind. Neben Passwörtern werden auch Geräte-PINs und Muster über gefälschte Sperrbildschirme abgefangen.
Ein besonderes Risiko stellt das Keylogging über die Barrierefreiheits-API dar. Damit können die Angreifer alle Tastatureingaben mitlesen, einschließlich Einmalpasswörtern aus SMS-Nachrichten. Dies ermöglicht die Umgehung der Zwei-Faktor-Authentifizierung in Echtzeit. Darüber hinaus nutzen alle vier Trojaner das MediaProjection-Framework von Android. Damit wird der Bildschirminhalt live an die Server der Angreifer übertragen. Diese visuelle Pipeline ermöglicht es den Kriminellen, Kontostände einzusehen und Transaktionen zu beobachten, ohne dass die Daten über die Tastatur oder die Zwischenablage laufen müssen.
Gefahr für Unternehmen
Für Organisationen stellt diese mobile Malware ein erhebliches Risiko für die Datenintegrität dar. Da Mitarbeiter häufig private Geräte für den Zugriff auf Unternehmensressourcen nutzen, können die Trojaner Authentifizierungstoken abfangen und Sitzungen kapern. Dies ermöglicht unbefugten Zugriff auf Firmennetzwerke, Cloud-Dienste und sensible interne Daten. Die Fähigkeit der Malware, sich als legitime Produktivitäts-Apps zu tarnen, erhöht die Wahrscheinlichkeit einer erfolgreichen Infektion im geschäftlichen Umfeld. Die Ergebnisse von Zimperium unterstreichen die Notwendigkeit für Unternehmen, über signaturbasierte Schutzmaßnahmen hinauszugehen und verhaltensbasierte Sicherheitslösungen für Mobilgeräte einzusetzen.
