Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

TrojanerAndroid Marcher zählt zu einer der aktivsten Malware-Familien, die kontinuierlich mit neuen Varianten aufwartet, um Bank- und Kreditkartendaten von arglosen Anwendern zu erbeuten. Fortlaufend werden die Tricks und Mechanismen aktualisiert, um die Payload des Schadcodes zu transportieren und somit neue Infektionen auszulösen, darunter Pornographie und neu auf den Markt kommende Spiele. 

Aktuell beobachtet das Zscaler ThreatLabZ-Team, wie sich die Malware-Payload als Adobe Flash Player getarnt auf Systeme einzuschleichen versucht. Im Visier der aktuellen Variante stehen mehr als 40 Banking-Apps, auf deren Akkreditierungsdaten der Anwender es die Malware abgesehen hat.

Als Infektionsquelle dienen Anzeigen des popcash.net, die die Payload transportieren. Wird eine entsprechende Dropper-URL geöffnet, erhält der Anwender einen Hinweis, dass sein Flash Player veraltet ist und die Malware „Adobe_Flash_2016.apk“ wird auf dem System abgelegt. Diese Malware leitet den Anwender an, Sicherheitsfunktionen auf dem Gerät zu deaktivieren und die Installation weiterer Apps von Drittparteien zuzulassen.

Trojan

Ist der Schadcode einmal installiert, verbirgt sich die Malware auf dem System, indem sie ihr Icon von dem Handy-Menü entfernt. Nach der Infektion registriert die Malware das betroffene Handy bei seinem Command & Control (C&C)-Server. Neben den Metadaten des Handys wird zusätzlich eine Liste der installierten Apps ausgelesen. Nach einigen Schlafzyklen wird die Malware aktiv und wartet darauf, dass der Anwender eine App von der Zielliste an 40 Banking-Anwendungen öffnet. Sobald das geschieht, präsentiert die Malware eine gefälschte Login-Seite und greift dadurch die Anmeldedaten ab. Einige der gefälschten Akkreditierungsseiten zeigt die folgende Grafik:

Trojan 2

Im Unterschied zu den Vorgängervarianten behält die neue Malware-Version eine JavaScript Notation (JSON)-Datei. Diese beinhaltet die entsprechende Banking-Anwendung zusammen mit der URL der gefälschten Login-Seite. Alle Banking-Apps und weitere technische Details des Infektionszykluses sowie Anzeichen für eine Kompromittierung sind auf der Zscaler-ThreatLabZ-Seite nachzulesen.

Anwendern wird empfohlen, Apps nur aus offiziellen Stores herunterzuladen. Darüber hinaus trägt das Deaktivieren der „Unknown Sources“-Option in den Sicherheitseinstellungen des Handys dazu bei, Downloads von fragwürdigen Quellen zu vermeiden.

 
GRID LIST
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Elmar Albinger

Politiker-Hack: Passwort "Schwachstelle Mensch"

Der Hackerangriff auf deutsche Mandatsträger und Prominente hat das politische Berlin in…
Hacker mit Tastatur

Zwischen Spaß und Verbrechen - Cybercrime als gesellschaftliches Phänomen

Er ist 20 Jahre alt, Schüler und wohnt noch bei seinen Eltern. So sieht das Profil des…
Smarte News aus der IT-Welt