Sberbank-mobile-banking-app

Abbildung 1 - Screenshot der Sberbank Mobile Banking-App, die genutzt wurde, um Android/Spy.Krysanec zu verbreiten

Immer wieder raten wir Android-Nutzern eindringlich, keine Anwendungen von zwielichtigen Quellen herunterzuladen. Bleiben Sie bei seriösen Stores wie dem offiziellen Google Play Store. Auch hier taucht zwar hin und wieder Malware auf, aber dank Google Bouncer sind die Kontrollen viel besser als bei alternativen App Stores.

Vor kurzem haben wir eine Android-Malware entdeckt, welche die Relevanz des Ratschlags verdeutlicht: Einen RAT (Remote Access Trojaner), der sich unter anderem als unser Sicherheitsprodukt ESET Mobile Security tarnt.

Im Folgenden werfen wir einen Blick darauf, wie sich die Malware verbreitet, wie sie funktioniert und inwiefern sie mit kürzlich erschienenen Schlagzeilen zusammenhängt.

Verbreitungsmechanismen

Android-Malware tarnt sich oftmals als gekrackte Version von beliebten, seriösen Apps – als ein Spiel oder als andere mehr oder weniger nützliche Software. Häufig sind die regulären Funktionen verfügbar, nur dass es einen kleinen Zusatz gibt – einen Trojaner. Auch wenn es sicherlich keine ausnahmslos geltende Regel ist, dass alle in weniger vertrauenwürdigen Stores oder Foren angebotenen Apps schädlich sind, ist die Gefahr hier eindeutig größer.

spaces.ru-hosting-android-spy.krysanec

Abbildung 2 - Spaces.ru Account, der Android/Spy.Krysanec hostet

Der Backdoor-Trojaner, den ESET als Android/Spy.Krysanec erkennt, wurde in Modifikationen der folgenden Apps gefunden:

  • ESET Mobile Security
  • 3G Traffic Guard (Monitoring-App für die Datennutzung)
  • MobileBank (Mobile Banking-App der russischen Sberbank)
  • Und ein paar andere…

Wir haben herausgefunden, dass die Malware über verschiedene Kanäle verbreitet wird, wie z.B. typische Filesharing-Seiten (u.a. Warez) oder einem russischen sozialen Netzwerk. Die folgenden Screenshots zeigen einen Account, der genutzt wurde, um den Trojaner zu hosten.

Spaces.ru-hosting-trojan

Abbildung 2 - Spaces.ru Account, der Android/Spy.Krysanec hostet

Funktionalität

Die infizierten Anwendungen beinhalten die Android-Version vom Unrecom RAT (Remote Access Trojaner), ein plattformübergreifendes Remote-Access-Tool.

Die Malware ist in der Lage, verschiedene Daten vom infizierten Gerät abzufangen, sich mit seinem Command & Control (C&C) Server zu verbinden sowie andere Plug-in-Module herunterzuladen und auszuführen.

Die Module geben der Backdoor auf dem Gerät Zugriff auf:

  • Erstellung von Fotos
  • Aufnahme einer Audiospur mit dem Mikrofon
  • Derzeitige GPS-Lokalisierung
  • Liste aller installierten Anwendung
  • Liste aller aufgerufenen Webseiten
  • Liste der getätigten Anrufe
  • Kontaktliste
  • SMS (regulär oder WhatsApp)

Android-Spy.Krysanec-control-panel

Abbildung 4 - Screenshot vom Android/Spy.Krysanec Control Panel

C&C Server

Interessanterweise wurden einige der von uns analysierten Malware-Exemplare, die mit dem C&C Server verbunden waren, auf einer Domain gehostet, die dem DDNS-Anbieter no-ip.com gehört. No-IP machte vor kurzem Schlagzeilen, als Microsofts Digital Crime Unit 22 der Domains des Unternehmens übernahm. Diese wurden genutzt, um Malware zu verbreiten. Microsoft hat den Fall anschließend allerdings fallengelassen.

Bei Windows Desktops sind Remote-Access-Tools relativ gängig, bei Android-Geräten hingegen nicht. Der Ratschlag kann also wieder nur lauten: Nutzer sollten unsere ESET Mobile Security, aber auch alle anderen Apps nur von vertrauenswürdigen Quellen wie dem Google Play Store herunterladen. Und selbst hier sollten sie immer darauf achten, welche Zugriffsrechte eine App verlangt.