Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

WhatsApp Quelle Budrul Chukrut Shutterstock 1303879405 700

Bild: Budrul Chukrut / Shutterstock.com

Wie hinterhältig Banking Trojaner agieren, zeigt die neueste Entdeckung von RSA: Anubis II tarnt sich als legitime Smartphone-App für Android-Endgeräte. Dadurch erhalten Cyberkriminelle den vollen Zugriff auf persönliche Daten, wie Passwörter oder getätigte Zahlungen und verlangen für eine Entschlüsselung dieser meist ein Lösegeld. Das Besondere: Der BankBot verbreitet sich über WhatsApp – mit knapp 46 Mio. Nutzern.

Mobile Malware never rests

Mobile Malware ist nach wie vor ein wachsendes Problem für Unternehmen und Privatanwender auf der ganzen Welt. Oft als legitime Smartphone-App getarnt, ist mobile Schadsoftware darauf angelegt, sowohl Geld, Passwörter oder andere persönliche Daten zu entwenden als auch Nachrichten abzufangen. Im Jahr 2018 identifizierte RSA durchschnittlich 82 infizierte Android-Apps pro Tag – doppelt so viel wie noch im Jahr 2017.

BankBot Anubis II

Der BankBot erschien zum ersten Mal Anfang 2017 und fand seinen Weg als getarnte Banking-, Shopping- oder Wetter-App auf die Smartphones der Nutzer. Anubis II bietet Angreifern die volle Kontrolle. In neueren Versionen ist der Quellcode von BankBot verschleiert, was die Analyse der Malware erschwert. Darüber hinaus wird der Hauptteil des Quellcodes in die Anwendung überführt und verschlüsselt, was bei manueller Betrachtung zum unlesbarem Binärcode führt.

BankBot Anubis II bietet die folgenden Funktionen:

  • SMS-Manipulation, einschließlich der Möglichkeit, empfangene Nachrichten zu lesen und selbst verfasste Nachrichten zu versenden – insofern können regelrecht SMS-Spam-Kampagnen durchgeführt werden
  • Anruf-Manipulation, einschließlich des eigenständigen Tätigens von Telefonanrufen
  • Möglichkeit der heimlichen Tonaufnahme
  • Verschlüsselung von Dateisystemen des Geräts, um beispielsweise Lösegeld zu verlangen
  • Möglichkeit SSH- oder VNC-Verbindungen zum infizierten Gerät herzustellen, sodass Angreifer die GUI des Smartphones einsehen und steuern können
  • Verwendung des infizierten Geräts als Proxy, so dass Angreifer die IP-Adresse des Telefons des Opfers vorgeben können

„Wenn du das Geld hast, haben wir deinen Bankbot“

Der BankBot Anubis II wird im Darknet zum Verkauf angeboten und kostet bis zu mehrere tausend Dollar. Er imitiert Symbole und typische Markenzeichen populärer App-Anwendungen, damit Nutzer keinen Verdacht schöpfen. Wie bei anderen BankBots, werden die Nutzer bei der Neuinstallation gefragt, Administrator-Berechtigungen und somit der App Zugriff auf die Daten des Smartphones zu erteilen. In dem von RSA untersuchten Fall ist der sehr beliebte Instant-Messaging-Dienst WhatsApp im Blickfeld von Betrügern.

BankBot1 BankBot

Nachdem der User die Berechtigung gegeben hat, verschwindet das Anwendungssymbol aus dem Menü, einschließlich seiner Verknüpfungen auf dem Startbildschirm. Die App ist nur noch bei den Downloads des Geräts gelistet.

RSA BankBot Bild 3

Wenn Nutzer nun versuchen auf die Anwendungseinstellungen zuzugreifen, schließt der BankBot Anubis II diese sofort, um zu verhindern, dass der Nutzer sie deinstalliert. Gleichzeitig verschlüsselt der Bot alle wichtigen Daten auf dem Smartphone und die Betrüger verlangen Lösegeld, um diese wieder freizugeben.

Die Hauptmerkmale der beobachteten Malware lassen sich aus dem Namen ableiten: "BankBot Anubis", eine Kombination aus Banking-Malware und Ransomware (Anubis Cryptolocker). Betrüger können selbst wählen, wie sie das Lösegeld erhalten wollen. Entweder verlangen sie das Geld durch Diebstahl von Zugangsdaten anhand Phishing Web Injects oder durch die Verschlüsselung des Dateisystems der Opfer und fordern Lösegeld für die Entschlüsselung.

Fazit

Der durchdringende Charakter von BankBots zeigt, dass die Nutzung der neuesten Technologien und Applikationen im digitalen Zeitalter mit einem erheblichen Risiko verbunden ist. Dennoch dürfen Verbraucher und Unternehmen nicht zulassen, dass diese Bedrohung den digitalen Fortschritt behindert, sondern gleichermaßen auf ein Ziel hinarbeiten: Das neue digitale Risiko, welches mit diesen Technologien einhergeht, zu managen und zu priorisieren.

Das Beispiel zeigt ebenfalls die beliebte Nutzung von Social-Media-Plattformen für diverse Angriffe durch Cyberkriminelle. RSA erwartet, dass sich der BankBot Anubis II im Bereich der Banken-Malware stetig weiterentwickelt und dieses Jahr immer wieder mithilfe von WhatsApp & Co. zuschlagen wird.

Daniel CohenDaniel Cohen ist Leiter der der FraudAction-Abteilung von RSA,

www.rsa.com/de-de

 

GRID LIST
Wifi Smartphone

Von nichts kommt nichts: Der eigene 4G Hotspot ist per se nicht sicher

Es ist eine Lebensweisheit, die man auch der IT-Sicherheit zugestehen darf: man muss sich…
Log-in ohne Passwort

Login-Verfahren ohne Passwort

Für Mobilfunkkunden in Deutschland wird das digitale Leben ab sofort noch sicherer.…
Mobile Ransomware

Neuartige Android-Ransomware

ESET-Forscher haben eine neue Ransomware entdeckt, die sich per SMS mit bösartigem Link…
Spyware

FinSpy schlägt wieder zu - Überwachung von WhatsApp bis Threema

Sicherheitsexperten von Kaspersky haben neue Versionen von ,FinSpy‘, einem komplexen,…
Tb W190 H80 Crop Int 2fccc559bfa6855ea993398e41180e73

Bei mobile Phishing nicht ins Schwimmen geraten

Phishing gilt gemeinhin als eine der größten Herausforderungen für Cybersicherheit…
Cirque du Soleil

Cirque du Soleil: Manege frei für App mit Sicherheitslücken

Die Sammelwut von Apps auf Smartphones und Tablets entwickelt sich immer mehr zum…