Banking-Trojaner infiziert 800.000 Android-Geräte

Die Hintermänner der Geost genannten Gruppe stehlen Zugangsdaten zu Bankkonten. Sie bauen mit den infizierten Geräten zudem ein riesiges Botnet auf, das offenbar immer noch aktiv ist. Unverschlüsselte Chat-Logs geben Forschern jedoch detaillierte Einblicke in die Arbeitsweise der Gruppe.

Der Sicherheitsanbieter Avast hat in Zusammenarbeit mit der Czech Technical University und der Uncuyo Universität in Argentinien ein Botnet sowie die Aktivitäten eines Android-Banking-Trojaners aufgedeckt. Die als Geost bezeichneten Hintermänner sollen bis zu 800.000 Android-Geräte kompromittiert haben. Möglicherweise erbeuteten sie von jedem Gerät Zugangsdaten zu Bankkonten sowie Namen der Opfer, deren Standort und Bezeichnung ihrer Smartphones.

App-Malware (Bild: Shutterstock)Die Kampagne war den Forschern zufolge mindestens seit 2016 aktiv. Die Cyberkriminellen begingen jedoch einige grundlegende Fehler, was es den Forschern schließlich erlaubte, ihr gesamtes Vorgehen zu überwachen, Chat-Logs mitzulesen und sogar die Identitäten von zwei Tatbeteiligten offenzulegen.

Auf die Spur der Täter kamen die Forscher bei der Untersuchung von Mustern einer HtBot genannten Malware, die eine pseudo-anonyme Kommunikation über das Internet erlaubt. Die Geost-Mitglieder versäumten es jedoch, ihre Kommunikation zu verschlüsseln, was die Aufmerksamkeit der Forscher erregte.

Auf Smartphones bringen die Kriminellen ihre Schadsoftware, indem sie legitime Apps nachahmen und schädliche Funktionen hinzufügen, bevor sie sie in Android-Marktplätzen von Drittanbietern veröffentlichen. Unter anderem kopierten sie Spiele, Banking- und Social-Networking-Apps.

Ihre Malware war vor allem in der Lage, Textnachrichten zu überwachen. Da vor allem russische Geldinstitute immer noch Passwörter im Klartext per SMS verschicken, wollten sich die Kriminellen so den Zugang zu Bankkonten verschaffen. Alternativ war die Schadsoftware aber auch in der Lage, Anmeldedaten der Banken abzufragen. „Manchmal nutzten sie Pop-ups auf dem Telefon, um nach Anmeldedaten zu fragen. Sobald sie die Daten hatten, gibt es keine Interaktion mehr auf dem Telefon“, sagte Sebastian Garcia, Forscher der Czech Technical University in Prag.

Bei der Überwachung der Gruppe fanden die Forscher auch heraus, dass die Hacker oft mit ihrer Arbeit unzufrieden waren – trotz des augenscheinlichen Erfolgs ihrer Operation. Ein Chat-Log offenbart beispielsweise eine Kommunikation, in der ein Mitglied versucht, das andere davon abzuhalten, die Gruppe zu verlassen.

Die Chat-Logs enthielten aber auch Details über finanzielle Transaktionen und die Entwicklung von Malware. Zudem tauchten immer wieder Nutzernamen von zwei Anführern der Geost-Gruppe auf. Diese Namen verwendeten sie offenbar auch auf anderen Websites.

Die Forscher gehen davon aus, dass die Gruppe immer noch aktiv ist und Zugriff auf ein riesiges Botnet von Android-Geräten hat. Ihre Malware sei zudem ein Beleg dafür, dass viele Kriminelle gerne auf Dinge zurückgriffen, die bereits vorhanden seien. „Sie wollen keine Jahre mit der Entwicklung verbringen – sie haben weder das Geld noch die Ressourcen dafür. Sie wollen nur Geld verdienen.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Android, Avast, Banking, Cybercrime, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Banking-Trojaner infiziert 800.000 Android-Geräte

Kommentar hinzufügen
  • Am 5. Oktober 2019 um 10:00 von Jan Bludau

    Wie heißt der Banking Trojaner?
    Über welche Apps kam er auf das System?
    Welche Schutzmaßnahmen sollte man ergreifen?

Kommentare sind bei diesem Artikel deaktiviert.