MysteryBot: Die neue Android-Malware, die Keylogger, Ransomware und Banking-Trojaner vereint

MysteryBot Android-Malware zielt auf Banking-Apps ab

Sicherheitsforscher von ThreatFabric haben eine experimentelle Form von Android-Malware entdeckt, die sich noch in der Entwicklung befindet. Laut den Forschern kombiniert die neue Malware die Funktionen eines Banking-Trojaners, Keyloggers und Ransomware, die Android-Geräte mit den Versionen 7.0 oder 8.0 angreift.

Mit dem Namen MysteryBot trägt diese Malware auffällige Ähnlichkeiten mit dem berüchtigten LokiBot, der im letzten Jahr Chaos anrichtete, jedoch mit neuen trickreichen Funktionen. Das bedeutet, dass es wahrscheinlich von demselben Malware-Entwickler entwickelt wurde. Ursprünglich als überarbeitete Version von LokiBot gedacht, fanden die Forscher heraus, dass die Malware viel mehr in sich hatte.

„Während der Untersuchung seiner Netzwerkaktivitäten fanden wir heraus, dass MysteryBot und LokiBot Android-Banker beide auf demselben C&C [Command and Control]-Server laufen. Dies brachte uns schnell zu der frühen Schlussfolgerung, dass diese neu entdeckte Malware entweder ein Update für LokiBot oder ein weiterer Banking-Trojaner ist, der von demselben Akteur entwickelt wurde“, erklärte ThreatFabric in einem Blogbeitrag.

MysteryBot zeigt außergewöhnliche Fähigkeiten und übernimmt die vollständige Kontrolle über das betroffene Gerät. Es ist in der Lage, verschiedene bösartige Aktivitäten durchzuführen, wie z. B. Telefonanrufe zu tätigen, Kontaktinformationen zu stehlen, Textnachrichten zu kopieren, eingehende Anrufe an ein anderes Gerät weiterzuleiten und als Keylogger zu fungieren. Es kann auch alle Gerätedateien im externen Speicher verschlüsseln und alle Kontaktinformationen auf dem Gerät löschen.

Die Malware gelangt auf das Gerät, indem sie sich als Adobe Flash Player-App für Android tarnt. „Im Allgemeinen muss der Verbraucher sich bewusst sein, dass alle sogenannten ‚Flash Player (Update)-Apps‘, die in und außerhalb der verschiedenen App-Stores zu finden sind, Malware sind“, sagte ThreatFabric gegenüber Bleeping Computer.

„Viele Websites verlangen immer noch von den Besuchern, dass sie Unterstützung für Flash haben (was seit vielen Jahren nicht mehr auf Android verfügbar ist), was dazu führt, dass Android-Nutzer versuchen, eine App zu finden, die ihnen die Nutzung dieser Website ermöglicht“, fügte der Sprecher hinzu. „Am Ende installieren sie einfach Malware.“

Weiter erklärten die Forscher: „Eine neue Technik wurde konzipiert und wird derzeit verwendet, sie missbraucht die Android PACKAGE_USAGE_STATS-Berechtigung (allgemein als Usage Access-Berechtigung bezeichnet). Der Code von MysteryBot wurde mit der sogenannten PACKAGE_USAGE_STATS-Technik konsolidiert. Da der Missbrauch dieser Android-Berechtigungen erfordert, dass das Opfer die Berechtigungen für die Nutzung bereitstellt, verwendet MysteryBot den beliebten AccessibilityService, der es dem Trojaner ermöglicht, jede erforderliche Berechtigung ohne das Einverständnis des Opfers zu aktivieren und zu missbrauchen.“

Das Hauptziel der MysteryBot-Malware besteht Berichten zufolge darin, Banking-Apps anzugreifen, obwohl die Malware viel mehr als das tun kann. MysteryBot kann mobile Banking-Aktivitäten unter legaler Tarnung ohne das Wissen oder die Zustimmung des Opfers durchführen, was es den Finanzinstituten erschwert, bösartige Aktivitäten zu identifizieren. w tecnique wurde konzipiert und wird derzeit verwendet, sie missbraucht die

Während MysteryBot derzeit nicht im Umlauf ist, wurde LokiBot zuvor über SMS-Spam (Smishing) und E-Mails (Phishing) verbreitet, die Links zu einer Android-App enthielten, sagte ThreatFabric gegenüber Bleeping Computer.

Benutzern wird empfohlen, ihre Geräte sicher zu halten, indem sie Android-Apps nur aus dem Google Play Store und nicht aus anderen Quellen installieren. Außerdem ist es wichtig zu wissen, dass sie auch wirklich aus dem Play Store herunterladen.

„Es gibt immer noch viele Droppers im Google Play Store, da es sich um ein effizientes Verbreitungsmedium zu handeln scheint“, sagte ThreatFabric. „Die meisten Android-Banking-Trojaner scheinen jedoch über Smishing/Phishing und Side-Loading verteilt zu werden.“

Quelle: Bleeping Computer