Skip to content

Neue Android-Banking-Malware verbreitet sich getarnt als Krypto-App

Ein neuer Banking-Trojaner mit dem Namen „Malibot“ gibt vor, eine Krypto-Mining-Anwendung zu sein, die zwischen Android-Telefonen verbreitet werden soll. Während es derzeit nur in Spanien und Italien aktiv ist, könnte es damit beginnen, Amerikaner ins Visier zu nehmen.

Bild: Jackie Niam/Adobe Stock

Bei der Verfolgung der Mobile-Banking-Malware FluBot entdeckten die Forscher von F5 Labs die neue Malibot-Bedrohung, die auf Android-Telefone abzielt. Malibot verfügt über eine Reihe von Merkmalen und Fähigkeiten, die es zu einer wichtigen Bedrohung machen, die es zu berücksichtigen gilt.

SEHEN: Sicherheitsrichtlinie für Mobilgeräte (Tech Republic Premium)

Wie wird Malibot vertrieben?

Malibot wird derzeit von Cyberkriminellen über zwei verschiedene Kanäle verbreitet.

Die erste Verbreitungsmethode erfolgt über das Internet: Zwei verschiedene Websites wurden von den Betrügern mit den Namen „Mining X“ und „TheCryptoApp“ erstellt (Abbildung A und Abbildung B).

Abbildung A

Die Website TheCryptoApp, die von Cyberkriminellen zur Verbreitung von Malibot erstellt wurde.

Abbildung B

Die MiningX-Website, die von Cyberkriminellen zur Verbreitung von Malibot erstellt wurde.

Die CryptoApp-Kampagne imitiert eine legitime Kryptowährungs-Tracker-Anwendung. Der Benutzer wird nur infiziert und erhält den Malware-Link, wenn er von einem Android-Telefon aus surft. Das Surfen von einem anderen Gerät aus führt dazu, dass der Benutzer einen legitimen Link für die echte TheCryptoApp-Anwendung im Google Play Store erhält. Ein direkter Download-Link wird Android-Benutzern außerhalb des Google Play Store bereitgestellt.

Wie bei der Mining X-Verteilungskampagne führt das Klicken auf den Download-Link auf der Website zum Öffnen eines Fensters mit einem QR-Code zum Herunterladen der Anwendung.

Der zweite Vertriebskanal erfolgt über Smishing, das direkt auf Android-Telefone trifft: Malibot kann SMS-Nachrichten bei Bedarf senden, und sobald es einen solchen Befehl erhält, sendet es Texte an eine Telefonliste, die vom Malibot-Befehls- und Kontrollserver bereitgestellt wird.

Welche Daten stiehlt Malibot?

Malibot wurde entwickelt, um Informationen wie persönliche Daten, Anmeldeinformationen und Finanzwissen zu stehlen. Um dieses Ziel zu erreichen, ist es in der Lage, Cookies, Multi-Faktor-Authentifizierungsdaten und Krypto-Wallets zu stehlen.

Google-Konten

Malibot verfügt über einen Mechanismus zum Sammeln von Anmeldeinformationen für Google-Konten. Wenn das Opfer eine Google-Anwendung öffnet, öffnet die Malware einen WebView zu einer Google-Anmeldeseite, wodurch der Benutzer gezwungen wird, sich anzumelden, und dem Benutzer nicht erlaubt, auf eine Zurück-Schaltfläche zu klicken.

Neben dem Sammeln des Google-Kontos ist Malibot auch in der Lage, die 2FA-Anmeldeinformationen von Google zu umgehen. Wenn der Benutzer versucht, sich mit seinem Google-Konto zu verbinden, wird ihm ein Google-Eingabeaufforderungsbildschirm angezeigt, den die Malware sofort validiert. Der 2FA-Code wird anstelle des legitimen Benutzers an den Angreifer gesendet und dann von der Malware abgerufen, um die Authentifizierung zu validieren.

Mehrfachinjektionen für ausgewählte Online-Dienste

Die Liste der infizierten Geräteanwendungen wird dem Angreifer auch von der Malware bereitgestellt, wodurch der Angreifer weiß, welche Anwendung von der Malware eingehakt werden kann, um stattdessen eine Injektion anzuzeigen. Ein Inject ist eine Seite, die dem Benutzer angezeigt wird und sich perfekt als legitim ausgibt (Abbildung C).

Abbildung C

Bild: F5 Labs Inject für die italienische Bankgesellschaft Unicredit, die von der Malware gezeigt wird.

Laut F5 Labs injiziert der Malibot gezielt Finanzinstitute in Spanien und Italien.

Multi-Faktor-Authentifizierung

Zusätzlich zu der Methode, die zum Stehlen von Google-Konten verwendet wird, kann Malibot bei Bedarf auch Multi-Faktor-Authentifizierungscodes von Google Authenticator stehlen. Per SMS an das Handy gesendete MFA-Codes werden von der Malware abgefangen und exfiltriert.

Krypto-Geldbörsen

Malibot ist in der Lage, Daten aus Kryptowährungs-Wallets von Binance und Trust zu stehlen.

Die Malware versucht, das Gesamtguthaben aus den Wallets der Opfer sowohl für Binance als auch für Trust abzurufen und auf den C2-Server zu exportieren.

Wie bei der Trust-Wallet kann Malibot auch die Seed-Phrasen für das Opfer sammeln, was es dem Angreifer ermöglicht, später das gesamte Geld auf eine andere Wallet seiner Wahl zu transferieren.

SMS-Betrug

Malibot kann bei Bedarf SMS-Nachrichten senden. Während es diese Fähigkeit hauptsächlich nutzt, um sich durch Smishing zu verbreiten, kann es auch Premium-SMS senden, die das Mobilfunkguthaben des Opfers in Rechnung stellen, sofern aktiviert.

Wie erlangt Malibot die Kontrolle über das infizierte Gerät?

Malibot macht intensiven Gebrauch von der Barrierefreiheits-API von Android, die es mobilen Anwendungen ermöglicht, Aktionen im Namen des Benutzers auszuführen. Auf diese Weise kann die Schadsoftware Informationen stehlen und die Persistenz aufrechterhalten. Genauer gesagt schützt es sich selbst vor der Deinstallation und dem Entfernen von Berechtigungen, indem es sich bestimmte Texte oder Beschriftungen auf dem Bildschirm ansieht und die Zurück-Taste drückt, um die Aktion zu verhindern.

Malibot: Eine sehr aktive Bedrohung

Malibot-Entwickler möchten, dass es unentdeckt bleibt und auf infizierten Geräten so lange wie möglich bestehen bleibt. Um bei Inaktivität nicht vom Betriebssystem getötet oder angehalten zu werden, ist die Malware als Launcher eingestellt. Jedes Mal, wenn seine Aktivität überprüft wird, startet oder weckt es den Dienst auf.

Einige zusätzliche Schutzmaßnahmen sind in der Malware enthalten, werden aber nicht verwendet. F5-Forscher fanden eine Funktion, um zu erkennen, ob die Malware in einer simulierten Umgebung ausgeführt wird. Eine weitere ungenutzte Funktion legt die Malware als versteckte Anwendung fest.

Weitere Malibot-Ziele werden kommen, die USA könnten bereits getroffen werden

Während die Forschung von F5 Labs Ziele in Spanien und Italien enthüllte, fanden sie auch laufende Aktivitäten, die auf die Cyberkriminellen hindeuten könnten, die es auf amerikanische Bürger abgesehen haben.

Eine Domain, die von demselben Angreifer verwendet wird, gibt sich als amerikanische Steuerbehörde aus und führt zu einer „Trust NFT“-Website (Abbildung D) anbieten, die Malware herunterzuladen.

Abbildung D

Neue Website des Bedrohungsakteurs, der sich im Domainnamen als US-Steuerbehörde ausgibt, nicht offengelegt, um den Leser zu schützen.

Eine andere Website, die das Thema COVID-19 in ihrem Domainnamen verwendet, führt zu denselben Inhalten. Forscher erwarten, dass die Angreifer über diese neuen Websites in anderen Teilen der Welt, einschließlich der USA, mehr Malware einsetzen

So schützen Sie sich vor Malibot

Die Malware wird nur von Websites verbreitet, die von Cyberkriminellen und SMS erstellt wurden. Es wird derzeit nicht über eine legitime Android-Plattform wie den Google Play Store verbreitet.

Installieren Sie niemals eine Anwendung auf einem Android-Gerät, die direkt per Mausklick heruntergeladen werden kann. Benutzer sollten nur Anwendungen aus vertrauenswürdigen und legitimen Anwendungsspeichern und -plattformen installieren. Benutzer sollten niemals Anwendungen von einem Link installieren, den sie per SMS erhalten.

Installieren Sie umfassende Sicherheitsanwendungen auf dem Android-Gerät, um es vor bekannten Bedrohungen zu schützen.

Bei der Installation einer Anwendung sollten die Berechtigungen sorgfältig geprüft werden. Malibot-Malware für SMS-Versandberechtigungen beim ersten Start, was Verdacht erregen sollte.

Offenlegung: Ich arbeite für Trend Micro, aber die in diesem Artikel geäußerten Ansichten sind meine.

Leave a Reply

Your email address will not be published.