Anzeige

Bild: Budrul Chukrut / Shutterstock.com

Wie hinterhältig Banking Trojaner agieren, zeigt die neueste Entdeckung von RSA: Anubis II tarnt sich als legitime Smartphone-App für Android-Endgeräte. Dadurch erhalten Cyberkriminelle den vollen Zugriff auf persönliche Daten, wie Passwörter oder getätigte Zahlungen und verlangen für eine Entschlüsselung dieser meist ein Lösegeld. Das Besondere: Der BankBot verbreitet sich über WhatsApp – mit knapp 46 Mio. Nutzern.

Mobile Malware never rests

Mobile Malware ist nach wie vor ein wachsendes Problem für Unternehmen und Privatanwender auf der ganzen Welt. Oft als legitime Smartphone-App getarnt, ist mobile Schadsoftware darauf angelegt, sowohl Geld, Passwörter oder andere persönliche Daten zu entwenden als auch Nachrichten abzufangen. Im Jahr 2018 identifizierte RSA durchschnittlich 82 infizierte Android-Apps pro Tag – doppelt so viel wie noch im Jahr 2017.

BankBot Anubis II

Der BankBot erschien zum ersten Mal Anfang 2017 und fand seinen Weg als getarnte Banking-, Shopping- oder Wetter-App auf die Smartphones der Nutzer. Anubis II bietet Angreifern die volle Kontrolle. In neueren Versionen ist der Quellcode von BankBot verschleiert, was die Analyse der Malware erschwert. Darüber hinaus wird der Hauptteil des Quellcodes in die Anwendung überführt und verschlüsselt, was bei manueller Betrachtung zum unlesbarem Binärcode führt.

BankBot Anubis II bietet die folgenden Funktionen:

  • SMS-Manipulation, einschließlich der Möglichkeit, empfangene Nachrichten zu lesen und selbst verfasste Nachrichten zu versenden – insofern können regelrecht SMS-Spam-Kampagnen durchgeführt werden
  • Anruf-Manipulation, einschließlich des eigenständigen Tätigens von Telefonanrufen
  • Möglichkeit der heimlichen Tonaufnahme
  • Verschlüsselung von Dateisystemen des Geräts, um beispielsweise Lösegeld zu verlangen
  • Möglichkeit SSH- oder VNC-Verbindungen zum infizierten Gerät herzustellen, sodass Angreifer die GUI des Smartphones einsehen und steuern können
  • Verwendung des infizierten Geräts als Proxy, so dass Angreifer die IP-Adresse des Telefons des Opfers vorgeben können

„Wenn du das Geld hast, haben wir deinen Bankbot“

Der BankBot Anubis II wird im Darknet zum Verkauf angeboten und kostet bis zu mehrere tausend Dollar. Er imitiert Symbole und typische Markenzeichen populärer App-Anwendungen, damit Nutzer keinen Verdacht schöpfen. Wie bei anderen BankBots, werden die Nutzer bei der Neuinstallation gefragt, Administrator-Berechtigungen und somit der App Zugriff auf die Daten des Smartphones zu erteilen. In dem von RSA untersuchten Fall ist der sehr beliebte Instant-Messaging-Dienst WhatsApp im Blickfeld von Betrügern.

BankBot1 BankBot

Nachdem der User die Berechtigung gegeben hat, verschwindet das Anwendungssymbol aus dem Menü, einschließlich seiner Verknüpfungen auf dem Startbildschirm. Die App ist nur noch bei den Downloads des Geräts gelistet.

Wenn Nutzer nun versuchen auf die Anwendungseinstellungen zuzugreifen, schließt der BankBot Anubis II diese sofort, um zu verhindern, dass der Nutzer sie deinstalliert. Gleichzeitig verschlüsselt der Bot alle wichtigen Daten auf dem Smartphone und die Betrüger verlangen Lösegeld, um diese wieder freizugeben.

Die Hauptmerkmale der beobachteten Malware lassen sich aus dem Namen ableiten: "BankBot Anubis", eine Kombination aus Banking-Malware und Ransomware (Anubis Cryptolocker). Betrüger können selbst wählen, wie sie das Lösegeld erhalten wollen. Entweder verlangen sie das Geld durch Diebstahl von Zugangsdaten anhand Phishing Web Injects oder durch die Verschlüsselung des Dateisystems der Opfer und fordern Lösegeld für die Entschlüsselung.

Fazit

Der durchdringende Charakter von BankBots zeigt, dass die Nutzung der neuesten Technologien und Applikationen im digitalen Zeitalter mit einem erheblichen Risiko verbunden ist. Dennoch dürfen Verbraucher und Unternehmen nicht zulassen, dass diese Bedrohung den digitalen Fortschritt behindert, sondern gleichermaßen auf ein Ziel hinarbeiten: Das neue digitale Risiko, welches mit diesen Technologien einhergeht, zu managen und zu priorisieren.

Das Beispiel zeigt ebenfalls die beliebte Nutzung von Social-Media-Plattformen für diverse Angriffe durch Cyberkriminelle. RSA erwartet, dass sich der BankBot Anubis II im Bereich der Banken-Malware stetig weiterentwickelt und dieses Jahr immer wieder mithilfe von WhatsApp & Co. zuschlagen wird.

Daniel CohenDaniel Cohen ist Leiter der der FraudAction-Abteilung von RSA,

www.rsa.com/de-de

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Coronavirus

Malware in Android-Apps: Auf der Coronavirus-Themenwelle reiten

Seit Beginn der Krise haben auch Android-Entwickler begonnen, die erhöhte Aufmerksamkeit zu diesem Thema für Ihre Zwecke einzusetzen – leider nicht immer mit guten Absichten.
mobile security

Schwachstelle Smartphone? Mobiles Arbeiten ohne Risiko

Jeder zweite Mitarbeiter verwendet beim mobilen Arbeiten ein Smartphone oder Tablet. Die Mehrzahl greift dabei im Rahmen des Modells Bring Your Own Device (BOYD) auf private Geräte zurück. Denn lediglich jede fünfte Person wird vom Arbeitgeber mit einem…
Hacker Account

Social-Media-Accounts über Cookies gekapert

Kaspersky hat zwei neuartige Malware-Varianten für Android entdeckt, die sich über die Smartphones ihrer Opfer Zugriff auf die Accounts beliebter Sozialer Medien und Messenger-Dienste verschaffen können.
5G

5G – welche Gefahren drohen durch den Mobilfunkstandard?

Der neue Mobilfunkstandard 5G wurde eigentlich konzipiert, um sicherer als die Vorgänger 3G und 4G zu sein. Dennoch kann 5G eine enorme Bedrohung für die Sicherheit von Unternehmen darstellen.
Hacker Smartphone

Mobile Threats: Versteckte Apps sind die größte Bedrohung

McAfee veröffentlicht seinen alljährlichen Mobile Threat Report 2020, der die neusten Erkenntnisse rund um Mobile Malware und Angriffe auf Smartphones aufdeckt. Die Forscher von McAfee konnten herausfinden, dass Hacker ihre Angriffe immer heimtückischer…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!