Banking-Trojaner Zanubis tarnt sich als legitime App

Trojaner
LinkedInXingPocketWhatsAppFlipboard

Kaspersky-Experten haben eine neue Kampagne des Banking-Trojaners ,Zanubis‘ aufgedeckt, der sich als legitime Apps ausgeben kann. Derzeit tarnt er sich als offizielle App der peruanischen Regierungsorganisation SUNAT, um die Kontrolle über angegriffene Geräte zu erlangen. Weiterhin wurden zwei Schadprogramme entdeckt, die es explizit auf Krypto-Wallets abgesehen haben: die kürzlich aufgetauchte Malware ,AsymCrypt‘ und der sich stetig weiterentwickelnde Stealer ,Lumma‘.

Der Android-Banking-Trojaner Zanubis trat im August 2022 zum ersten Mal in Erscheinung und zielte anfänglich auf Nutzer von Finanz- und Krypto-Apps in Peru ab. Er gab sich als legitime Android-App aus, um Anwender dazu zu verleiten, Zugriffsberechtigungen zu erteilen. Im April dieses Jahres gingen die Hintermänner der Malware einen Schritt weiter und tarnten Zanubis als offizielle App der peruanischen Regierungsorganisation SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria). Der Trojaner wird mit Hilfe von Obfuscapk – einem beliebten Obfuskator für Android APK-Dateien – verschleiert. Sobald er die Erlaubnis für den Gerätezugriff erhält, lädt er mithilfe von WebViewer eine legitime SUNAT-Website und führt somit das Opfer damit in die Irre.

Anzeige

Zur Kommunikation mit dem Server verwendet Zanubis WebSockets und die Bibliothek Socket.IO. Dadurch kann der Trojaner sich individuell an die vorherrschenden Gegebenheiten anpassen und die Verbindung selbst bei auftretenden technischen Problemen aufrechterhalten. Zanubis verfügt nicht über eine feste Liste von Apps, auf die er abzielt, sondern kann durch entsprechende Remote-Programmierung Daten bei Ausführung bestimmter Apps stehlen. Darüber hinaus stellt der Trojaner eine zweite Verbindung her, wodurch Cyberkriminelle die volle Kontrolle über ein bestimmtes Gerät erlangen können, und ist – getarnt als Android-Update – in der Lage, es komplett zu deaktivieren.

AsymCrypt und Lumma: Krypto-Wallets im Visier

Eine weitere Entdeckung der Kaspersky-Experten ist Cryptor und Loader AsymCrypt, der auf Krypto-Wallets abzielt und in Darknet-Foren verkauft wird. Dabei handelt es sich um eine weiterentwickelte Version des DoubleFinger-Loader, der vorgibt, zu einem TOR-Netzwerkdienst zu führen. Die Käufer von AsymCrypt können Injektionsmethoden, Zielprozesse, Startpersistenz und Stub-Typen für schädliche DLLs individuell anpassen, wodurch sich die Payload in einem verschlüsselten Blob innerhalb eines .png-Bildes, das auf eine Bild-Hosting-Website hochgeladen wird, verstecken lässt. Bei der Ausführung wird das Bild entschlüsselt und die Payload im Speicher aktiviert.

Zudem stießen die Experten von Kaspersky auf den Lumma-Stealer, einer sich sukzessiv weiterentwickelnden Malware-Familie. Ursprünglich unter dem Namen Arkei bekannt, hat Lumma 46 Prozent seiner früheren Eigenschaften beibehalten. Als .docx-zu.pdf-Konverter getarnt, löst der Stealer, sobald hochgeladene Dateien mit der doppelten Erweiterung .pdf.exe zurückkommen, die schädliche Payload aus. Die Hauptfunktionalität aller Varianten hat sich jedoch im Laufe der Zeit nicht verändert: der Diebstahl zwischengespeicherter Dateien, Konfigurationsdateien und Protokollen von Krypto-Wallets. Der Lumma-Stealer gibt sich dafür als Browser-Plugin aus, unterstützt aber auch die eigenständige Binance-App. Die Entwicklung von Lumma umfasst die Übernahme von Systemprozesslisten, die Änderung von Kommunikations-URLs und die Optimierung von Verschlüsselungstechniken.

Cyberkriminelle sind in ihrem Streben nach finanziellem Gewinn grenzenlos. Sie wagen sich in die Welt der Kryptowährungen vor und geben sich sogar als staatliche Institutionen aus“, kommentiert Tatyana Shishkova, leitende Sicherheitsforscherin im Global Research and Analysis Team (GReAT) bei Kaspersky. „Die sich ständig weiterentwickelnde Malware-Landschaft, wie der facettenreiche Lumma-Stealer und Zanubis als vollwertiger Banking-Trojaner zeigen, machen die dynamische Entwicklung solcher Bedrohungen deutlich. Sicherheitsteams stehen permanent vor der Herausforderung, sich an ständig verändernde schädliche Codes und cyberkriminelle Taktiken anzupassen. Um sich vor solchen Gefahren zu schützen, müssen Unternehmen wachsam und gut informiert bleiben. Threat Intelligence spielt eine entscheidende Rolle, wenn es darum geht, sich über die neuesten schädlichen Tools und Techniken von Angreifern auf dem Laufenden zu halten. Sie ermöglichen es Unternehmen, den Cyberkriminellen im ständigen Kampf für digitale Sicherheit einen Schritt voraus zu sein.“

www.kaspersky.de


Anzeige

Artikel zu diesem Thema

Cyber Crime, Malware, China, chinesisch
22. September 2023
Chinesische Malware verändert die Bedrohungslandschaft
Backdoor
15. September 2023
Verdacht auf Supply-Chain-Angriff: Backdoor-Trojaner jahrelang an Linux-Systeme ausgeliefert
Kryptowährungen, Hardware Wallets, Krypto-Assets
31. Mai 2023
Die Gesamtzahl der Kryptowährungen ist um 58 % gestiegen
11. November 2022
Banking Trojaner: Xenomorph breitet sich über Google Play Store aus

Weitere Artikel

Shein „Mystery Box“ – Vorsicht vor dem Phishing-Scam
CrushFTP: Schwachstelle ermöglicht Datenabfluss
Spionage und Datenklau gibt es offensichtlich immer und überall
KI vs. KI: Wie Künstliche Intelligenz hilft, KI-generierte BEC-Angriffe abzuwehren
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.