Thought Leadership
Eine neue Android-Malware-Familie ist in russischsprachigen Cybercrime-Foren aufgetaucht und „wirbt“ mit einer vollständigen Geräteübernahme sowie Betrug in Echtzeit.
Die Malware wurde unter dem Namen Albiriox bekannt und so entwickelt, dass sie On-Device Fraud (ODF) unterstützt und angeblich bereits mehr als 400 Banking- und Kryptowährungs-Apps weltweit ins Visier nimmt.
„Durch die Kombination aus einer vollständigen Geräteübernahme sowie Manipulationen in Echtzeit direkt auf einem Gerät, umgeht Albiriox traditionelle Sicherheitskontrollen ist damit eine weitere deutliche Eskalation Betrugsmethoden. Die schnelle Verbreitung über den Malware-as-a-Service-Markt zeigt, wie rasant heute hochentwickelte Fähigkeiten, die früher nur fortgeschrittene Cyberkriminelle besaßen, nun auch weniger versierten Bedrohungsakteuren zur Verfügung stehen. Diese „Demokratisierung“ bösartiger Tools sollte die Sicherheitsverantwortlichen in den Unternehmen beunruhigen.
Frühe Analysen zeigen, dass Albiriox speziell für On-Device Fraud entwickelt wurde. Es zielt auf Hunderte Finanz- und Krypto-Apps ab und missbraucht risikoreiche Android-Berechtigungen, um den Bildschirm zu beobachten, Aktivitäten abzufangen und Transaktionen auszuführen. Besonders Tricky: Entsprechende Warnungen werden unterdrückt. Das alles ist jedoch nicht die Folge eines Versagens der Sicherheitsmechanismen von Banking- oder Krypto-Apps, sondern die Folge dessen, dass ein Gerät kompromittiert wurde und dann im Auftrag des Angreifers agiert.
Unternehmen sollten sich deshalb in erster Linie auf die mobilen Endgeräte konzentrieren; sie sind die zugleich die wichtigsten, aber auch riskantesten Assets. Deshalb sollten die Organisationen eine starke Geräteattestierung durchsetzen, App-Installationen einschränken und Barrierefreiheits-, Overlay- und Fernsteuerungsberechtigungen blockieren, sofern diese nicht ausdrücklich erforderlich sind. Privileged Access Management (PAM), Least-Privilege-Prinzipien, Passwort-Lifecycle-Kontrollen, segmentierte Netzwerke und adaptive Multi-Faktor-Authentifizierung begrenzen die Auswirkungen, im Falle eines Angriffs.
Ratsam ist auch, dass Nutzer das Sideloading von Apps vermeiden, Berechtigungen sorgfältig prüfen und unerwartete Aufforderungen oder Zugriffsanfragen als mögliche Warnsignale für eine Kompromittierung betrachten. Vor dem Hintergrund, dass MaaS-Ökosysteme wachsen, benötigen Organisationen mobilfokussierte Threat Intelligence, die Verhaltensmuster erkennt, die für moderne Android-Malware typisch sind – etwa verdächtige Authentifizierungsmuster und Hinweise auf kompromittierte Zugangsdaten. Die kontinuierliche Überwachung nach geleakten Zugangsdaten, ungewöhnlichem mobilen Zugriff auf privilegierte Konten und anderen identitätszentrierten Anomalien kann frühzeitig warnen und die Auswirkungen eines Gerätekompromittierung reduzieren.“
