Über 300.000 Android-Geräte von bösartigen Banking-Trojanern infiziert

Mehr als 300.000 Google Play Store-Nutzer wurden laut einem neuen Bericht von ThreatFabric, einem Unternehmen für mobile Sicherheit, mit Android-Banking-Trojanern infiziert.

Im letzten Monat entdeckten Sicherheitsforscher von ThreatFabric vier verschiedene Malware-Dropper-Kampagnen, die Banking-Trojaner im Google Play Store verbreiteten. Diese gehören hauptsächlich zu vier Malware-Familien – Anatsa, Alien, Hydra und Ermac, die zwischen August und November 2021 verteilt und über 300.000 Mal heruntergeladen wurden.

Diese bösartigen Android-Apps gaben sich als QR Scanner, QR Scanner 2021, PDF-Dokumentenscanner, PDF-Dokumentenscanner kostenlos, Zwei-Faktor-Authenticator, Schutzguard, QR CreatorScanner, Master Scanner Live, CryptoTracker und Fitness- und Personal Trainer aus.

Während der Forschung zu den Verteilungstechniken verschiedener Malware-Familien fanden die Analysten von ThreatFabric zahlreiche Dropper im Google Play, die speziell darauf ausgelegt waren, den Banking-Trojaner Anatsa zu verbreiten.

Anatsa wurde von ThreatFabric im Januar 2021 entdeckt. Es handelt sich um einen recht fortschrittlichen Android-Banking-Trojaner mit RAT- und semi-ATS-Funktionen. Er kann auch klassische Overlay-Angriffe durchführen, um Anmeldeinformationen zu stehlen, Zugriffsprotokollierung (alles auf dem Bildschirm des Benutzers aufzeichnen) und Keylogging.

Der erste Dropper wurde im Juni 2021 entdeckt und gab sich als App zum Scannen von Dokumenten aus. Insgesamt konnten die Analysten von ThreatFabric 6 Anatsa-Dropper identifizieren, die seit Juni 2021 im Google Play veröffentlicht wurden.

Diese Apps gaben sich als QR-Code-Scanner, PDF-Scanner und Kryptowährungs-Apps aus. Eine Dropper-App wurde mehr als 50.000 Mal installiert, wobei die Gesamtzahl der Installationen aller Dropper über 100.000 Installationen erreichte.

„Die Akteure dahinter haben darauf geachtet, ihre Apps legitim und nützlich erscheinen zu lassen. Es gibt eine große Anzahl positiver Bewertungen für die Apps. Die Anzahl der Installationen und die Präsenz von Bewertungen können Android-Nutzer überzeugen, die App zu installieren. Darüber hinaus besitzen diese Apps tatsächlich die behauptete Funktionalität, nach der Installation funktionieren sie normal und überzeugen das Opfer weiter von ihrer Legitimität“, bemerkten die Forscher.

Zusätzlich gab es auch Dropper-Installationen aus den Malware-Familien Alien (95.000+) und Hydra/Ermac (15.000+). Während Alien wichtige Informationen sogar aus einem Zwei-Faktor-Authentifizierungsprozess stehlen kann, verschaffen die anderen beiden Angreifern Zugriff auf das Gerät, um die Bankdaten der Nutzer zu stehlen.

Die Dropper-Apps haben einen sehr kleinen bösartigen Fußabdruck, was eine (direkte) Folge der von Google Play durchgesetzten Berechtigungsbeschränkungen ist.

Ein gutes Beispiel ist die Änderung, die am 13. November 2021 von Google eingeführt wurde, die die Nutzung der Zugänglichkeitsdienste einschränkt, die von früheren Dropper-Kampagnen missbraucht wurden, um Apps ohne Zustimmung des Nutzers zu automatisieren und zu installieren.

„Diese Überwachung durch Google hat die Akteure gezwungen, Wege zu finden, um den Fußabdruck der Dropper-Apps erheblich zu reduzieren. Neben verbesserten Malware-Code-Bemühungen sind die Google Play-Vertriebskampagnen auch raffinierter als frühere Kampagnen“, erklärten die Forscher von ThreatFabric in ihrem Bericht.

„Zum Beispiel durch die Einführung sorgfältig geplanter kleiner bösartiger Code-Updates über einen längeren Zeitraum im Google Play sowie durch die Bereitstellung eines Dropper-C2-Backends, das vollständig zum Thema der Dropper-App passt (zum Beispiel eine funktionierende Fitness-Website für eine auf Training fokussierte App).“

Um sich selbst noch schwieriger von Google und Antivirenanbietern erkennen zu lassen, aktivieren die Akteure hinter diesen Dropper-Apps die Installation des Banking-Trojaners auf einem infizierten Gerät nur manuell, um eine bestimmte Region der Welt oder spätere Daten anzusprechen, um die Erkennung weiter zu umgehen. Dies macht die automatisierte Erkennung zu einer viel schwierigeren Strategie für jede Organisation.

Infolgedessen haben fast alle Trojaner zu einem bestimmten Zeitpunkt einen 0/62 FUD-Score auf VirusTotal, was die Schwierigkeit bestätigt, Dropper-Apps mit minimalem Fußabdruck zu erkennen.

„Im Zeitraum von nur 4 Monaten wurden 4 große Android-Familien über Google Play verbreitet, was zu über 300.000 Infektionen über mehrere Dropper-Apps führte. Ein bemerkenswerter Trend in den neuen Dropper-Kampagnen ist, dass die Akteure sich auf Loader mit einem reduzierten bösartigen Fußabdruck im Google Play konzentrieren, was die Schwierigkeiten bei der automatisierten Erkennung erheblich erhöht“, schließt der Bericht.

„Der kleine bösartige Fußabdruck ist das Ergebnis der neuen Google Play-Beschränkungen (aktueller und geplanter), um Einschränkungen bei der Nutzung von Datenschutz in Bezug auf App-Berechtigungen zu schaffen.“

Nach der Entdeckung der bösartigen Apps meldete ThreatFabric alle an Google, die nun, wie von einem Google-Sprecher gegenüber ZDNet bestätigt, aus dem Play Store entfernt wurden.

„Das Android-Banking-Malware-Ökosystem entwickelt sich schnell weiter. Diese Zahlen, die wir jetzt beobachten, sind das Ergebnis eines langsamen, aber unvermeidlichen Fokuswechsels von Kriminellen hin zur mobilen Landschaft. Vor diesem Hintergrund ist der Google Play Store die attraktivste Plattform, um Malware zu verbreiten“, sagte Dario Durando, Spezialist für mobile Malware bei ThreatFabric, gegenüber ZDNet.

„Eine gute Faustregel ist es, immer Updates zu überprüfen und immer sehr vorsichtig zu sein, bevor man Berechtigungen für Zugänglichkeitsdienste gewährt – die vom bösartigen Payload nach der Installation des „Updates“ angefordert werden – und vorsichtig zu sein bei Anwendungen, die zusätzliche Software installieren möchten“, empfahl Durando den Nutzern, um eine Infektion zu vermeiden.