Neuer Android Banking-Anmeldeinformationen-Dieb RAT, der sich als Google Service Framework tarnt

Android-Malware übernimmt langsam und stetig die Kontrolle über PC-Malware. Die Sicherheitsfirma FireEye hat eine neue Android-Malware identifiziert, die sich als “Google Service Framework” tarnt und die Bankanmeldeinformationen von Android-Nutzern stiehlt. Was die Malware, die ein RAT (Remote Access Tool) ist, einzigartig macht, ist, dass sie das Google Service Framework verwendet, um tatsächlich Anti-Virus-Apps auf Android-Smartphones und -Tablets zu beenden.

FireEye sagt, dass die Entdeckung dieses HijackRAT-Banking-Anmeldeinformationen-Diebs ein Zeichen für weitere Android-orientierte Bankbedrohungen in der Zukunft von seinem Entwickler sein könnte. FireEye erklärte in dem Blogbeitrag,

„In der Vergangenheit haben wir Android-Malware gesehen, die Datenschutzverletzungen, Diebstahl von Bankanmeldeinformationen oder Fernzugriff separat ausführt, aber dieses Beispiel hebt Android-Malware auf ein neues Niveau, indem es all diese Aktivitäten in einer App kombiniert. Darüber hinaus“, fuhren sie fort, „haben wir festgestellt, dass der Hacker ein Framework entworfen hat, um Bankübernahmen durchzuführen, und aktiv auf dieses Ziel hinarbeitet. Wir vermuten, dass es in naher Zukunft eine Reihe von Bankübernahme-Malware geben wird, sobald das Framework abgeschlossen ist. Derzeit werden acht koreanische Banken von dem Angreifer erkannt, doch der Hacker kann schnell auf neue Banken mit nur 30 Minuten Arbeit expandieren.“

FireEye testete diese Malware mit acht koreanischen Bank-Apps und stellte fest, dass, sobald die Malware auf dem Gerät installiert ist, der Command-and-Control-Server einen Befehl sendet, um die vorhandenen Bank-Apps zu ersetzen. Android-Banking-Apps erfordern die Installation von ‚com.ahnlab.v3mobileplus‘, einer auf Google Play verfügbaren Antivirus-App. FireEye bemerkte, dass der HijackRaT nach der Installation die Antivirus-Anwendung beendete und dann fortfuhr, die Banking-App zu ersetzen. Dieses Verhalten ermöglicht es dem RAT, die Erkennung nach der Installation sowohl von der AV-App als auch vom Android-Nutzer zu vermeiden, der den Eindruck hat, dass die Banking-App, die er/sie verwendet, echt ist.

• Die Funktionsweise dieses RAT zu erklären, sagt der Blog,

„Der Paketname dieser neuen RAT (Remote Access Tool) Malware ist „com.ll“ und erscheint als „Google Service Framework“ mit dem Standard-Android-Icon. Android-Nutzer können die App nicht entfernen, es sei denn, sie deaktivieren ihre administrativen Berechtigungen in ‚Einstellungen‘. Bisher hat der Virus Total-Score des Samples nur fünf positive Erkennungen von 54 AV-Anbietern. Solche neue Malware wird schnell veröffentlicht, teilweise weil der CNC-Server, den der Hacker verwendet, sich so schnell ändert.“

Die Funktionsweise der Malware wird in einer detaillierten Analyse im FireEye-Blog beschrieben, jedoch versuchen wir, ihre Funktionsweise kurz zu erklären. Sobald die App mit dem Malware-Payload installiert ist, erscheint das Google Services-Icon auf dem Startbildschirm. Wenn der Android-Nutzer auf dieses Icon klickt, erscheint ein neuer Bildschirm, der um administrative Berechtigungen bittet, wie jede andere Android-App. Sobald der Nutzer akzeptiert und der Malware die Berechtigungen erteilt, wird die Deinstallationsoption deaktiviert und ein neuer Dienst namens „GS“ gestartet. Dies ist jedoch nur eine Tarnung für die Malware; wenn der Nutzer auf das GS-Icon klickt, zeigt das Gerät eine „App ist nicht installiert“-Nachricht an und entfernt sich dann vom Startbildschirm. Jetzt ist der HijackRAT in Betrieb, und wenn der Nutzer online ist, verbindet sich die App innerhalb von Minuten mit dem Command-and-Control-Server in Hongkong und erhält eine Aufgabenliste von ihm. FireEye sagt, dass sie die IP-Adresse nach Hongkong zurückverfolgt haben, aber den Autor/Eigentümer der Malware nicht identifiziert haben. Basierend auf der Benutzeroberfläche der Malware glauben sie, dass die Malware wahrscheinlich von einem Koreaner verfasst wurde und derzeit nur koreanische Nutzer anvisiert.

„Wir können nicht sagen, ob es die IP des Hackers oder eine Opfer-IP ist, die vom RAT kontrolliert wird, aber die URL ist nach der Geräte-ID und der UUID benannt, die vom CNC-Server generiert wurde.“

Die Aufgaben, die es ausführen soll, bestehen darin, zu versuchen, eine App herunterzuladen, die nach „update“ und einer Abkürzung des Banknamens benannt ist, während gleichzeitig die ursprüngliche Banking-App deinstalliert wird. Wenn der Befehl zum „Update“ vom Remote Access Tool gesendet wird, wird eine ähnliche App – „update.apk“ – vom Command-and-Control-Server heruntergeladen und auf dem Android-Gerät installiert. Die Malware sendet auch alle Benutzerdetails des Besitzers des Android-Geräts an den C & C-Server. Diese Details umfassen Telefonnummern, Geräte-IDs, MAC-Adressen und Kontaktlisten, die auf dem Smartphone oder Tablet verfügbar sind.

• „Angesichts der einzigartigen Natur, wie diese App funktioniert, einschließlich ihrer Fähigkeit, mehrere Ebenen persönlicher Informationen abzurufen und Banking-Apps zu imitieren, könnte eine robustere mobile Banking-Bedrohung am Horizont sein.“

Der Anstieg von Malware, die Bankanmeldeinformationen stiehlt, ist keine Überraschung, aber das Maß an Einfallsreichtum und die Raffinesse, mit der die Malware ihr Payload ausführt, um sich mit dem C & C-Server zu verbinden, ist ein besorgniserregendes Zeichen für Google, Sicherheitsanalysten und die Android-Community.