Banking-Trojaner infiziert 800.000 Android-Geräte

Die Hintermänner der Geost genannten Gruppe stehlen Zugangsdaten zu Bankkonten. Sie bauen mit den infizierten Geräten zudem ein riesiges Botnet auf, das offenbar immer noch aktiv ist. Unverschlüsselte Chat-Logs geben Forschern jedoch detaillierte Einblicke in die Arbeitsweise der Gruppe.

Der Sicherheitsanbieter Avast hat in Zusammenarbeit mit der Czech Technical University und der Uncuyo Universität in Argentinien ein Botnet sowie die Aktivitäten eines Android-Banking-Trojaners aufgedeckt. Die als Geost bezeichneten Hintermänner sollen bis zu 800.000 Android-Geräte kompromittiert haben. Möglicherweise erbeuteten sie von jedem Gerät Zugangsdaten zu Bankkonten sowie Namen der Opfer, deren Standort und Bezeichnung ihrer Smartphones.

App-Malware (Bild: Shutterstock)Die Kampagne war den Forschern zufolge mindestens seit 2016 aktiv. Die Cyberkriminellen begingen jedoch einige grundlegende Fehler, was es den Forschern schließlich erlaubte, ihr gesamtes Vorgehen zu überwachen, Chat-Logs mitzulesen und sogar die Identitäten von zwei Tatbeteiligten offenzulegen.

Auf die Spur der Täter kamen die Forscher bei der Untersuchung von Mustern einer HtBot genannten Malware, die eine pseudo-anonyme Kommunikation über das Internet erlaubt. Die Geost-Mitglieder versäumten es jedoch, ihre Kommunikation zu verschlüsseln, was die Aufmerksamkeit der Forscher erregte.

Auf Smartphones bringen die Kriminellen ihre Schadsoftware, indem sie legitime Apps nachahmen und schädliche Funktionen hinzufügen, bevor sie sie in Android-Marktplätzen von Drittanbietern veröffentlichen. Unter anderem kopierten sie Spiele, Banking- und Social-Networking-Apps.

Ihre Malware war vor allem in der Lage, Textnachrichten zu überwachen. Da vor allem russische Geldinstitute immer noch Passwörter im Klartext per SMS verschicken, wollten sich die Kriminellen so den Zugang zu Bankkonten verschaffen. Alternativ war die Schadsoftware aber auch in der Lage, Anmeldedaten der Banken abzufragen. „Manchmal nutzten sie Pop-ups auf dem Telefon, um nach Anmeldedaten zu fragen. Sobald sie die Daten hatten, gibt es keine Interaktion mehr auf dem Telefon“, sagte Sebastian Garcia, Forscher der Czech Technical University in Prag.

Bei der Überwachung der Gruppe fanden die Forscher auch heraus, dass die Hacker oft mit ihrer Arbeit unzufrieden waren – trotz des augenscheinlichen Erfolgs ihrer Operation. Ein Chat-Log offenbart beispielsweise eine Kommunikation, in der ein Mitglied versucht, das andere davon abzuhalten, die Gruppe zu verlassen.

Die Chat-Logs enthielten aber auch Details über finanzielle Transaktionen und die Entwicklung von Malware. Zudem tauchten immer wieder Nutzernamen von zwei Anführern der Geost-Gruppe auf. Diese Namen verwendeten sie offenbar auch auf anderen Websites.

Die Forscher gehen davon aus, dass die Gruppe immer noch aktiv ist und Zugriff auf ein riesiges Botnet von Android-Geräten hat. Ihre Malware sei zudem ein Beleg dafür, dass viele Kriminelle gerne auf Dinge zurückgriffen, die bereits vorhanden seien. „Sie wollen keine Jahre mit der Entwicklung verbringen – sie haben weder das Geld noch die Ressourcen dafür. Sie wollen nur Geld verdienen.“

WEBINAR

HPE ProLiant Gen10 Plus Server mit AMD EPYC-Prozessoren der 2. Generation

Neben der herausragenden Performance bieten die neuen HPE ProLiant Gen10 Plus Server mit AMD® EPYC™ Prozessoren der 2. Generation auch in Sachen Sicherheit einzigartige Features: HPEs Silicon Root of Trust ermöglicht zusammen mit dem AMD Secure-Processor einen sicheren Systemstart, Arbeitsspeicherverschlüsselung und sichere Virtualisierung. Erfahren Sie in diesem Webinar, wie Sie von der überlegenen Leistung der HPE Server profitieren.

Themenseiten: Android, Avast, Banking, Cybercrime, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Banking-Trojaner infiziert 800.000 Android-Geräte

Kommentar hinzufügen
  • Am 5. Oktober 2019 um 10:00 von Jan Bludau

    Wie heißt der Banking Trojaner?
    Über welche Apps kam er auf das System?
    Welche Schutzmaßnahmen sollte man ergreifen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *