Categories: SicherheitVirus

Banking-Trojaner infiziert 800.000 Android-Geräte

Der Sicherheitsanbieter Avast hat in Zusammenarbeit mit der Czech Technical University und der Uncuyo Universität in Argentinien ein Botnet sowie die Aktivitäten eines Android-Banking-Trojaners aufgedeckt. Die als Geost bezeichneten Hintermänner sollen bis zu 800.000 Android-Geräte kompromittiert haben. Möglicherweise erbeuteten sie von jedem Gerät Zugangsdaten zu Bankkonten sowie Namen der Opfer, deren Standort und Bezeichnung ihrer Smartphones.

Die Kampagne war den Forschern zufolge mindestens seit 2016 aktiv. Die Cyberkriminellen begingen jedoch einige grundlegende Fehler, was es den Forschern schließlich erlaubte, ihr gesamtes Vorgehen zu überwachen, Chat-Logs mitzulesen und sogar die Identitäten von zwei Tatbeteiligten offenzulegen.

Auf die Spur der Täter kamen die Forscher bei der Untersuchung von Mustern einer HtBot genannten Malware, die eine pseudo-anonyme Kommunikation über das Internet erlaubt. Die Geost-Mitglieder versäumten es jedoch, ihre Kommunikation zu verschlüsseln, was die Aufmerksamkeit der Forscher erregte.

Auf Smartphones bringen die Kriminellen ihre Schadsoftware, indem sie legitime Apps nachahmen und schädliche Funktionen hinzufügen, bevor sie sie in Android-Marktplätzen von Drittanbietern veröffentlichen. Unter anderem kopierten sie Spiele, Banking- und Social-Networking-Apps.

Ihre Malware war vor allem in der Lage, Textnachrichten zu überwachen. Da vor allem russische Geldinstitute immer noch Passwörter im Klartext per SMS verschicken, wollten sich die Kriminellen so den Zugang zu Bankkonten verschaffen. Alternativ war die Schadsoftware aber auch in der Lage, Anmeldedaten der Banken abzufragen. „Manchmal nutzten sie Pop-ups auf dem Telefon, um nach Anmeldedaten zu fragen. Sobald sie die Daten hatten, gibt es keine Interaktion mehr auf dem Telefon“, sagte Sebastian Garcia, Forscher der Czech Technical University in Prag.

Bei der Überwachung der Gruppe fanden die Forscher auch heraus, dass die Hacker oft mit ihrer Arbeit unzufrieden waren – trotz des augenscheinlichen Erfolgs ihrer Operation. Ein Chat-Log offenbart beispielsweise eine Kommunikation, in der ein Mitglied versucht, das andere davon abzuhalten, die Gruppe zu verlassen.

Die Chat-Logs enthielten aber auch Details über finanzielle Transaktionen und die Entwicklung von Malware. Zudem tauchten immer wieder Nutzernamen von zwei Anführern der Geost-Gruppe auf. Diese Namen verwendeten sie offenbar auch auf anderen Websites.

Die Forscher gehen davon aus, dass die Gruppe immer noch aktiv ist und Zugriff auf ein riesiges Botnet von Android-Geräten hat. Ihre Malware sei zudem ein Beleg dafür, dass viele Kriminelle gerne auf Dinge zurückgriffen, die bereits vorhanden seien. „Sie wollen keine Jahre mit der Entwicklung verbringen – sie haben weder das Geld noch die Ressourcen dafür. Sie wollen nur Geld verdienen.“

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

AVM veröffentlicht FritzOS 7.20 für Fritzbox 7590

FritzOS 7.20 soll eine erhebliche Performancesteigerung bringen. Außerdem beinhaltet es Komfortfunktionen für das smarte Heimnetz,…

4 Stunden ago

Latenzen bei Online-Live-TV senken

Live-Fernsehen über das Internet stellt hohe Herausforderungen an die Latenz. Der Online-Zuschauer solle den Ausgang…

6 Stunden ago

Try2Cry: Neue Ransomware mit Wurm-Funktion infiziert Windows-Systeme

Sie kopiert sich auf Wechseldatenträger. Dort ersetzt Try2Cry alle gespeicherten Dateien durch LNK-Dateien mit deren…

9 Stunden ago

macOS Big Sur: Apple schließt Hintertür für Adware-Apps

Es entfällt die Möglichkeit zur stillen Installation von Konfigurationsprofilen. macOS Bigs Sur betrachtet Profile künftig…

11 Stunden ago

Windows 10 2004: Microsoft bietet Workaround für Bug in Speicherplätze-Funktion an

Betroffen sind nur Paritätsspeicherplätze. Deren Nutzer können unter Umständen nicht auf einzelne Dateien oder gar…

12 Stunden ago

Vereinte Nationen: Elektronik-Schrott erreicht 2019 Rekordvolumen von 53,6 Millionen Tonnen

In fünf Jahren erhöht sich das jährliche Aufkommen um 9,2 Millionen Tonnen. Die UN kritisiert…

3 Tagen ago