VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Internet World Congress
09.10.18 - 10.10.18
In München

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

TrojanerAndroid Marcher zählt zu einer der aktivsten Malware-Familien, die kontinuierlich mit neuen Varianten aufwartet, um Bank- und Kreditkartendaten von arglosen Anwendern zu erbeuten. Fortlaufend werden die Tricks und Mechanismen aktualisiert, um die Payload des Schadcodes zu transportieren und somit neue Infektionen auszulösen, darunter Pornographie und neu auf den Markt kommende Spiele. 

Aktuell beobachtet das Zscaler ThreatLabZ-Team, wie sich die Malware-Payload als Adobe Flash Player getarnt auf Systeme einzuschleichen versucht. Im Visier der aktuellen Variante stehen mehr als 40 Banking-Apps, auf deren Akkreditierungsdaten der Anwender es die Malware abgesehen hat.

Als Infektionsquelle dienen Anzeigen des popcash.net, die die Payload transportieren. Wird eine entsprechende Dropper-URL geöffnet, erhält der Anwender einen Hinweis, dass sein Flash Player veraltet ist und die Malware „Adobe_Flash_2016.apk“ wird auf dem System abgelegt. Diese Malware leitet den Anwender an, Sicherheitsfunktionen auf dem Gerät zu deaktivieren und die Installation weiterer Apps von Drittparteien zuzulassen.

Trojan

Ist der Schadcode einmal installiert, verbirgt sich die Malware auf dem System, indem sie ihr Icon von dem Handy-Menü entfernt. Nach der Infektion registriert die Malware das betroffene Handy bei seinem Command & Control (C&C)-Server. Neben den Metadaten des Handys wird zusätzlich eine Liste der installierten Apps ausgelesen. Nach einigen Schlafzyklen wird die Malware aktiv und wartet darauf, dass der Anwender eine App von der Zielliste an 40 Banking-Anwendungen öffnet. Sobald das geschieht, präsentiert die Malware eine gefälschte Login-Seite und greift dadurch die Anmeldedaten ab. Einige der gefälschten Akkreditierungsseiten zeigt die folgende Grafik:

Trojan 2

Im Unterschied zu den Vorgängervarianten behält die neue Malware-Version eine JavaScript Notation (JSON)-Datei. Diese beinhaltet die entsprechende Banking-Anwendung zusammen mit der URL der gefälschten Login-Seite. Alle Banking-Apps und weitere technische Details des Infektionszykluses sowie Anzeichen für eine Kompromittierung sind auf der Zscaler-ThreatLabZ-Seite nachzulesen.

Anwendern wird empfohlen, Apps nur aus offiziellen Stores herunterzuladen. Darüber hinaus trägt das Deaktivieren der „Unknown Sources“-Option in den Sicherheitseinstellungen des Handys dazu bei, Downloads von fragwürdigen Quellen zu vermeiden.

 
GRID LIST
Hacker

Anstieg des CEO-Frauds beobachtet

Das Volumen von Phising-Nachrichten mit CEO-Fraud-Inhalt, die gemeldet wurden, hat sich…
Hacker Kamera

Zero‑Day‑Schwachstelle in Videoüberwachungs‑Software entdeckt

Mit der „Peekaboo” getauften Schwachstelle können Cyberkriminelle die Aufnahmen…
Hacker

Kryptomining-Malware in Kodi Add-ons enttarnt

Die Benutzer von Kodi sollten sich ihre installierten Zusatzprogramme nochmal ganz genau…
Hacker

Hacker-Gruppe LuckyMouse signiert Malware mit legitimem Zertifikat

Die Experten von Kaspersky Lab (GReAT) haben mehrere Infektionen eines bisher unbekannten…
Trojaner

Verbreitung von Mining-Trojanern für Windows und Linux

Im vergangenen Monat gerieten erneut Mining-Trojaner in das Visier der Virenanalysten von…
Schloss

Wie lassen sich falsche Webzertifikate ausstellen?

Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in…
Smarte News aus der IT-Welt