Malware-Entwickler testen die Wachsamkeit von Android-Usern aufs Neue. Schon wieder sind im Google Play Store getarnte Banken-Trojaner aufgetaucht. Erst kürzlich haben wir 29 davon analysiert. Alle stammen aus einem Zeitraum zwischen August bis Anfang Oktober 2018. Die Banken-Trojaner tarnen sich als Geräte-Optimierer, Batterie-Manager oder als Horoskop-Apps.
Im Gegensatz zu den immer häufiger vorkommenden bösartigen Apps, die legitime Finanzinstitute nachahmen und gefälschte Eingabemasken zeigen, gehören die von uns neu entdeckten Banken-Trojaner zu einer etwas höher entwickelten Spezies. Diese mobile Banking-Trojaner warten mit komplexeren Funktionen auf und ihr Tarnmechanismus spielt eine viel größere Rolle.
Die ferngesteuerten Trojaner sind in der Lage, Apps auf dem Gerät des Opfers anzugreifen und maßgeschneiderte Phishing-Formulare zu erstellen. Davon abgesehen können sie SMS-Textnachrichten abfangen und umleiten, um eine Zwei-Faktor-Authentifizierung zu umgehen. Auch Anrufprotokolle können mitgelesen und zusätzliche Apps auf dem Gerät installiert werden.
Die schädlichen Apps wurden meist unter verschiedenen Entwicklernamen hochgeladen, aber Code-Ähnlichkeiten und ein gemeinsamer C&C-Server deuten darauf hin, dass die Trojaner-Apps das kriminelle Werk eines einzelnen Angreifers bzw. einer Gruppe sind.
Abbildung 1: Beispiele für die bei Google Play gefundenen Banking-Trojaner
Die 29 bösartigen Apps wurden aus dem offiziellen Android-Store entfernt, nachdem ESET und Verbündete die Verantwortlichen bei Google darauf hinwiesen. Bevor die Banken-Trojaner allerdings aus dem Verkehr gezogen werden konnten, installierten rund 30.000 Android-User die Schad-Apps.
Abbildung 2: Eine falsche Fehlermeldung, die von einem der Trojaner beim Start angezeigt wird
Wie funktionieren die Banken-Trojaner?
Entweder zeigen die Trojaner-Apps nach dem Start eine Fehlermeldung an – Inkompatibilität mit dem Android-Gerät – worauf sie dann im Hintergrund verschwinden oder die Anwendungen erfüllen die angepriesene Funktionalität.
Alle 29 Trojaner-Apps tragen die verschlüsselte Payload in sich – unabhängig davon, was sie nach dem ersten Öffnen anzeigen. Die Nutzlast ist Base64 kodiert und dann mit Hilfe der RC4-Verschlüsselungsmethode und einem festkodierten Schlüssel verschlüsselt. Die erste Stufe der Malware-Aktivität ist ein Dropper, der zunächst nach einem Emulator oder einer Sandbox sucht. Ist das Resultat negativ, entschlüsselt und entpackt der Banken-Trojaner einen Loader und die Payload. Diese Nutzlast enthält die eigentliche Banking-Malware. Einige der analysierten Apps enthielten auch mehr als eine Stufe verschlüsselter Payload.
Abbildung 3: Malware-Funktion zum Erkennen eines Android-Emulators
Letztendlich versucht die Malware eine auf dem Android-Gerät installierte Banking-App zu imitieren, eingehende SMS-Nachrichten abzufangen oder Nachrichten selbst zu versenden sowie zusätzliche Apps herunterzuladen und zu installieren.
Ein erstaunliches Feature ist das dynamische Nachahmen jeder auf dem kompromittierten Gerät installierten Anwendung. Der Banken-Trojaner ist in der Lage, HTML-Code einer bereits installierten App aufzurufen und so für sich anzupassen, dass beispielsweise Formularfelder mit eigenem Schadcode überdeckt werden. Das Opfer besitzt kaum eine Chance, die Kompromittierung aufzuspüren.
Wie schütze ich mich vor Banken-Trojanern?
Glücklicherweise besitzen die von uns analysierten Banken-Trojaner keine ausgefeilten Persistenz-Mechanismen, sodass sie recht einfach vom Android- Gerät zu entfernen sind. Wer glaubt, einer der Apps zum Opfer gefallen zu sein, kann sie über die Einstellungen im Anwendungsmanager deinstallieren und löschen.
Wir empfehlen darüber hinaus die Umsatzübersicht des Bankkontos zu überprüfen sowie das Online-Banking Passwort bzw. den PIN zu ändern.
Außerdem helfen diese einfachen Tipps, Banken-Trojanern fern zu bleiben:
- Generell sind die angebotenen Apps im Google Play Store sicherer als anderswo. Schad-Apps werden umgehend entfernt.
- Vor dem Herunterladen sollten Bewertungen, Anzahl der Downloads und die Rezensionen gecheckt werden.
- Ein Blick in die eingeforderten Berechtigungen hilft eventuelle betrügerische Apps fernzuhalten.
- Das Android-Gerät sollte immer unter der aktuellsten Version laufen. Mobile Security Softwarelösungen gibt es auch für Android-Endgeräte. ESET-Produkte erkennen und blockieren die gefundenen Banken-Trojaner als Android/TrojanDropper.Agent.CIQ.
Ein besonderer Dank geht an Nikolaos Chrysaidos, der die ESET-Forscher auf die Bedrohung hinwies.
Indicators of Compromise (IoCs)
| App name | Package name | Hash | Installs |
|---|---|---|---|
| Power Manager | com.puredevlab.powermanager | 7C13ADEFC2CABD85AD8F486C3CBDB6379811A097 | 10+ |
| Astro Plus | com.astro.plus | 24D2ED751A33BD965A01FA87D7A187D14D0B0849 | 0+ |
| Master Cleaner - CPU Booster | bnb.massclean.boost | 101DA4333A26BC6D9DFEF6605E5D8D10206C0EB4 | 5,000+ |
| Master Clean - Power Booster | mc.boostpower.lf | E5DC8D4664167D61E5B4D83597965253A8B4CB3B | 100+ |
| Super Boost Cleaner | cpu.cleanpti.clo | 33D59A70363857A0CE6857D201B764EF3E8194DD | 500+ |
| Super Fast Cleaner | super.dupclean.com | E125AC53050CAFA5A930B210C8168EA9ED0FD6F1 | 500+ |
| Daily Horoscope For All Zodiac Signs | ui.astrohoro.t2018 | C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA | 100 + |
| Daily Horoscope Free - Horoscope Compatibility | com.horochart.uk | CD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25 | 500+ |
| Phone Booster - Clean Master | ghl.phoneboost.com | 9834B40401D76473D496E73884947D8A9F1920B3 | 1,000+ |
| Speed Cleaner - CPU Cooler | speeeed.cool.fh | 7626646C5C6D2C94B9D541BD5A0F320421903277 | 100+ |
| Ultra Phone Booster | ult.boostphone.pb | 6156081484663085B4FC5DEAEBF7DA079DD655C3 | 1,000+ |
| Free Daily Horoscope 2019 | fr.dayy.horos | 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B | 50+ |
| Free Daily Horoscope Plus - Astrology Online | com.dailyhoroscope.free | c0be22c44e5540322e0ffbf3a6fe18ce0968d3b5 | 1,000+ |
| Phone Power Booster | pwr.boost.pro | FCB8E568145AF2B6D8D29C0484417E51DD25717F | 1,000+ |
| Ultra Cleaner - Power Boost | ua.cleanpower.boost | CB37C8C44750874BA61F6F95E7A7C29073CB51DC | 50+ |
| Master Cleaner - CPU Booster | bnm.massclean.boost | 63E1C18D87F41ABF9956FC035D29D3C2890453EE | 5,000+ |
| Daily Horoscope - Astrological Forecast | gmd.horobest.ty | 90f41c64b3ab3f3b43e9d14b52f13143afb643da | 1,000+ |
| Speed Cleaner – CPU Cooler | speeeed.cool.gh | 56be07b21c9992a45c3b44b2e8a26b928e8238e2 | 0+ |
| Horoscope 2018 | com.horo2018i.up | c8dc0e94f38556cd83ca6a693fa5b6d7ae3957f7 | 1,000+ |
| Meu Horóscopo | my.horoscop.br | 92808ca526f8e655d8fa8716ab476be4041cd505 | 1,000+ |
| Master Clean - Power Booster | mc.boostpower.cf | ab88a93b0e919e5e07cf867f4165f78aa77dc403 | 50+ |
| Boost Your Phone | boost.your.phone | 5577c9131f026d549a38e3ce48c04a323475927e | 1,000+ |
| Phone Cleaner - Booster, Optimizer | phone.boost.glh | 988AB351549FEB2C1C664A29B021E98E3695A18A | 1,000+ |
| Clean Master Pro Booster 2018 | pro.cleanermaster.iz | b9d32241d169dfd4ca5674dffa357796b200bc2f | 10+ |
| Clean Master - Booster Pro | bl.masterbooster.pro | bcb9ef41fea8878eb10f4189dd55bfe1d03a64b3 | 5,000+ |
| BoostFX. Android cleaner | fx.acleaner.e2018 | 99bff493d201d42534eec9996fd0819a | 50+ |
| Daily Horoscope | day.horocom.ww | 971a0cf208f99c259966b20aa10380c1 | 1,000+ |
| Daily Horoscope | com.dayhoroscope.en | 25e95b32832a491108835b382c4f14aa | 1,000+ |
| Personal Horoscope | horo.glue.zodnow | 0dcaf426bbc3b484aa4004f5c8e48a19 | 1,000+ |
