Anzeige

Trojaner auf Smartphone

Innerhalb der letzten Wochen hat das Cybereason Nocturnus-Team einen neuen Typus von Android-Malware untersucht, die EventBot getauft und erstmals im März 2020 aufgedeckt wurde. Bei der Malware handelt es sich offensichtlich um eine Neuentwicklung, die sich deutlich von bisher bekannter Android-Malware unterscheidet.

EventBot wird aktiv weiterentwickelt und entfaltet sich sehr schnell. Alle paar Tage werden neue verbesserte Versionen mit weiteren Funktionsmerkmalen veröffentlicht. 

EventBot missbraucht die Accessibility Features von Android um auf wertvolle Benutzerinformationen, Systeminformationen und Daten zuzugreifen, die in anderen Anwendungen gespeichert sind. Insbesondere kann EventBot SMS-Nachrichten abfangen und mitlesen und die 2-Faktor-Authentifizierung umgehen. Das Cybereason Nocturnus-Team hat festgestellt, dass sich die Malware gegen die Nutzer von über 200 verschiedene Banken- und Finanz-Apps richtet, die Mehrzahl von ihnen solche von europäischen Banken und zum Austausch von Kryptowährungen. Indem EventBot auf diese Daten zugreift und sie extrahiert, hat die Malware das Potenzial an geschäftliche Schlüsseldaten und finanzielle Informationen zu gelangen. 

Inzwischen sind 60 % aller Geräte, die auf Unternehmensdaten zugreifen, mobile Endgeräte. Auf diesen sind in aller Regel nicht unbeträchtliche Mengen persönlicher und geschäftlicher Daten gespeichert, vorausgesetzt das Unternehmen arbeitet nach einer Bring-your-own-Device-Richtlinie. Mobile Malware ist ein großes Risiko sowohl für private Nutzer als auch für Unternehmen – und das sollte man bei Schutz von privaten und geschäftlichen Daten nicht außer Acht lassen. 

In der vorliegenden Untersuchung zergliedert das Nocturnus-Team eine sich rasch weiterentwickelnde Android-Malware während diese quasi noch „in der Mache“ ist. EventBot macht sich als Infostealer das Accessibility Feature von Android zunutze, um Informationen abzuziehen. Der Trojaner ist in der Lage, seinen Code  zu aktualisieren sowie alle paar Tage neue Funktionen zu veröffentlichen. Mit jeder neuen Version kommen Funktionen wie das Laden dynamischer Bibliotheken, Verschlüsselung und Anpassungen an unterschiedliche Umgebungen und Hersteller dazu. Als komplett neue Malware in einem relativ frühen Entwicklungsstadium erlaubt EventBot einen interessanten Einblick, wie Hacker üblicherweise eine Malware entwerfen und testen. 

Aufgrund der analysierten Funktionsmerkmale klassifiziert Cybereason EventBot als Bankentrojaner und Infostealer. Er benutzt Webinjects und die Fähigkeit Kurznachrichten zu lesen, um die 2-Faktor-Authentifizierung zu umgehen und richtet sich dabei gezielt gegen Finanz-Apps. 

Auch, wenn der Entwickler von EventBot bislang unbekannt ist und die Malware noch nicht in schwerwiegende Angriffe verwickelt gewesen zu sein scheint, ist es dennoch interessant sie in diesem frühen Stadium zu beobachten – was das Nocturnus-Team natürlich auch weiterhin tun wird. 

In den letzten Jahren haben sich Online-Aktivitäten nach und nach von stationären Rechnern auf Mobilgeräte verlagert. Das hat ganz natürlich zur Einführung neuer Malware-Typen geführt, die sich speziell gegen mobile Plattformen richten, insbesondere, aber nicht nur, gegen Android-basierte Geräte – darunter Malware wie Cerberus, Xhelper und der Anubis Bankingtrojaner. Viele von uns nutzen mobile Geräte für Online-Shopping und sogar für das Online-Banking. Es verwundert also nicht, dass sich der Bereich als für Cyberkriminelle zunehmend profitabel erweist. 

Die wichtigsten Ergebnisse in Kurzform

  • Das Cybereason Nocturnus Team untersucht EventBot, einen neuen Typ von Malware, der sich vornehmlich gegen Android-Nutzer richtet, und ungefähr im März 2020 auftauchte. EventBot ist ein mobiler Bankentrojaner und Infostealer, der sich die Accessibility Features in Android zunutze macht, um Benutzerdaten aus Finanz-Apps abzuziehen, SMS-Nachrichten mitzulesen und SMS-Nachrichten zu stehlen, was es der Malware erlaubt, die 2-Faktor-Authentifizierung zu umgehen.
     
  • EventBot richtet sich gegen die Nutzer von über 200 verschiedenen Finanz-Apps, dazu zählen Banking-Apps, Online-Überweisungsdienste und elektronische Geldbörsen für Kryptowährungen. Darunter Anwendungen und Banken wie Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, paysafecard und viele andere mehr. 
     
  • EventBot hat es dabei besonders auf Finanz- und Banking-Apps in den Vereinigten Staaten und Europa, einschließlich Italien, dem Vereinigten Königreich, Spanien, der Schweiz, Frankreich und Deutschland abgesehen. Eine vollständige Liste der betroffenen Apps finden Sie im Anhang der Analyse. 
     
  • EventBot ist besonders deshalb interessant, weil sich die Malware noch in einem so frühen Stadium befindet. Diese brandneue Schadsoftware hat durchaus das Potenzial die nächste große Gefahr in Sachen mobiler Malware zu werden. Dafür spricht, dass sie fortlaufend verbessert wird, dass sie sich eine wichtige Funktion des Betriebssystems zunutze macht, und dass sie sich speziell gegen Finanz-Apps richtet. 
     
  • Diese Untersuchung gibt einen der eher seltenen Einblick in die Prozessverbesserungen, die Malware-Urheber bei der Optimierung vor dem Start vornehmen. In diesem Fall sind die Sicherheitsforscher dazu in die Offensive gegangen und haben ihrerseits die Hacker gejagt. Durch diese Vorgehensweise war es möglich, die Malware in sehr frühen Stadien ans Licht zu bringen – noch bevor sie vielleicht zu einer äußerst gefährlichen mobilen Schadsoftware mutiert. 

Sicherheitsempfehlungen

  • Laden Sie keine mobilen Applikationen aus inoffiziellen und nicht autorisierten Quellen herunter. Legitime Apps für Android sind im Google Play Store erhältlich. 
  • Bewahren Sie sich kritisches Denken und erwägen Sie, ob Sie einer bestimmten App wirklich alle Berechtigungen geben wollen, die sie verlangt. 
  • Wenn Sie Zweifel haben, überprüfen Sie die APK-Signatur und die Hash-Werte in Quellen wie VirusTotal bevor Sie eine App auf Ihrem Gerät    installieren. 
  • Verwenden Sie Sicherheitslösungen speziell für mobile Endgeräte

Weitere Informationen:

Der komplette Report steht Ihnen ab sofort hier zum Herunterladen zur Verfügung. 

www.cybereason.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Passwort Router

Die Top-10 der unsicheren Router-Passwörter

Ob öffentliches WLAN in einer Bar oder privates Funknetz in den eigenen vier Wänden: Router sind die Torwächter ins Netzwerk. Häufig setzen diese wichtigen Geräte beim Schutz vor unerlaubtem Zugriff lediglich auf ein Passwort, um auf die…
Mobile Security

Mobile Security im eigenen Unternehmen

Immer häufiger stellen Unternehmen einen Großteil ihrer IT-Landschaft auf mobile Endgeräte wie Tablets und Smartphones um. Um die Sicherheit interner Informationen zu gewährleisten, kommen viele Faktoren zum Tragen.
Contact-Tracing

Digitales Contact-Tracing: Vor- und Nachteile

Regierungen weltweit sehen sich mit einer weiterhin eskalierenden Krise konfrontiert und erarbeiten Pläne für das Pandemiemanagement. Dabei spielen auch die Vorteile digitaler Überwachungsnetze eine Rolle. 5G-Netze und schnellere Mobilfunkgeschwindigkeiten…
Netzwerk

ISPs unter Zugzwang

Seit den ersten Mobiltelefonen versprachen Mobilfunknetze die durchgehende Konnektivität. Aber die Realität sieht so aus, dass es immer noch Orte ohne Mobilfunknetzabdeckung gibt, und noch mehr Orte wie Wohnungen und Büros, an denen WLAN sinnvoller ist.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!