Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

TrojanerAndroid Marcher zählt zu einer der aktivsten Malware-Familien, die kontinuierlich mit neuen Varianten aufwartet, um Bank- und Kreditkartendaten von arglosen Anwendern zu erbeuten. Fortlaufend werden die Tricks und Mechanismen aktualisiert, um die Payload des Schadcodes zu transportieren und somit neue Infektionen auszulösen, darunter Pornographie und neu auf den Markt kommende Spiele. 

Aktuell beobachtet das Zscaler ThreatLabZ-Team, wie sich die Malware-Payload als Adobe Flash Player getarnt auf Systeme einzuschleichen versucht. Im Visier der aktuellen Variante stehen mehr als 40 Banking-Apps, auf deren Akkreditierungsdaten der Anwender es die Malware abgesehen hat.

Als Infektionsquelle dienen Anzeigen des popcash.net, die die Payload transportieren. Wird eine entsprechende Dropper-URL geöffnet, erhält der Anwender einen Hinweis, dass sein Flash Player veraltet ist und die Malware „Adobe_Flash_2016.apk“ wird auf dem System abgelegt. Diese Malware leitet den Anwender an, Sicherheitsfunktionen auf dem Gerät zu deaktivieren und die Installation weiterer Apps von Drittparteien zuzulassen.

Trojan

Ist der Schadcode einmal installiert, verbirgt sich die Malware auf dem System, indem sie ihr Icon von dem Handy-Menü entfernt. Nach der Infektion registriert die Malware das betroffene Handy bei seinem Command & Control (C&C)-Server. Neben den Metadaten des Handys wird zusätzlich eine Liste der installierten Apps ausgelesen. Nach einigen Schlafzyklen wird die Malware aktiv und wartet darauf, dass der Anwender eine App von der Zielliste an 40 Banking-Anwendungen öffnet. Sobald das geschieht, präsentiert die Malware eine gefälschte Login-Seite und greift dadurch die Anmeldedaten ab. Einige der gefälschten Akkreditierungsseiten zeigt die folgende Grafik:

Trojan 2

Im Unterschied zu den Vorgängervarianten behält die neue Malware-Version eine JavaScript Notation (JSON)-Datei. Diese beinhaltet die entsprechende Banking-Anwendung zusammen mit der URL der gefälschten Login-Seite. Alle Banking-Apps und weitere technische Details des Infektionszykluses sowie Anzeichen für eine Kompromittierung sind auf der Zscaler-ThreatLabZ-Seite nachzulesen.

Anwendern wird empfohlen, Apps nur aus offiziellen Stores herunterzuladen. Darüber hinaus trägt das Deaktivieren der „Unknown Sources“-Option in den Sicherheitseinstellungen des Handys dazu bei, Downloads von fragwürdigen Quellen zu vermeiden.

 
GRID LIST
Online-Banking

Sicheres Online-Banking

Rund 42 Millionen Menschen in Deutschland nutzen Online-Banking. Diese hohe Zahl ist…
Katz-und-Maus

Finanzinstitute und Cyber-Attacken: ein Katz-und-Maus-Spiel?

Laut einer aktuellen Studie des US Ponemon Institute über 254 Firmen in sieben Staaten…
Drohne

Gefährdung der IT-Sicherheit durch Drohnen

NTT Security (Germany), das auf Sicherheit spezialisierte Unternehmen und „Security…
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

E-Mail-Sicherheit in der Praxis weiterhin vernachlässigt

Vor einigen Wochen veröffentlichte das BSI (Bundesamt für Sicherheit in der…
Wurm

30-jähriges Jubiläum des Morris-Wurms - Nehmen wir die Cyber Security ernst?

Am 2. November 2018 sind 30 Jahre seit der Verbreitung des berüchtigten Morris-Wurms…
GandCrab

Bitdefender entschlüsselt Ransomware GandCrab

Bitdefender hat ein Entschlüsselungswerkzeug für neueste Versionen der…
Smarte News aus der IT-Welt