Categories: SicherheitVirus

Banking-Trojaner infiziert 800.000 Android-Geräte

Der Sicherheitsanbieter Avast hat in Zusammenarbeit mit der Czech Technical University und der Uncuyo Universität in Argentinien ein Botnet sowie die Aktivitäten eines Android-Banking-Trojaners aufgedeckt. Die als Geost bezeichneten Hintermänner sollen bis zu 800.000 Android-Geräte kompromittiert haben. Möglicherweise erbeuteten sie von jedem Gerät Zugangsdaten zu Bankkonten sowie Namen der Opfer, deren Standort und Bezeichnung ihrer Smartphones.

Die Kampagne war den Forschern zufolge mindestens seit 2016 aktiv. Die Cyberkriminellen begingen jedoch einige grundlegende Fehler, was es den Forschern schließlich erlaubte, ihr gesamtes Vorgehen zu überwachen, Chat-Logs mitzulesen und sogar die Identitäten von zwei Tatbeteiligten offenzulegen.

Auf die Spur der Täter kamen die Forscher bei der Untersuchung von Mustern einer HtBot genannten Malware, die eine pseudo-anonyme Kommunikation über das Internet erlaubt. Die Geost-Mitglieder versäumten es jedoch, ihre Kommunikation zu verschlüsseln, was die Aufmerksamkeit der Forscher erregte.

Auf Smartphones bringen die Kriminellen ihre Schadsoftware, indem sie legitime Apps nachahmen und schädliche Funktionen hinzufügen, bevor sie sie in Android-Marktplätzen von Drittanbietern veröffentlichen. Unter anderem kopierten sie Spiele, Banking- und Social-Networking-Apps.

Ihre Malware war vor allem in der Lage, Textnachrichten zu überwachen. Da vor allem russische Geldinstitute immer noch Passwörter im Klartext per SMS verschicken, wollten sich die Kriminellen so den Zugang zu Bankkonten verschaffen. Alternativ war die Schadsoftware aber auch in der Lage, Anmeldedaten der Banken abzufragen. „Manchmal nutzten sie Pop-ups auf dem Telefon, um nach Anmeldedaten zu fragen. Sobald sie die Daten hatten, gibt es keine Interaktion mehr auf dem Telefon“, sagte Sebastian Garcia, Forscher der Czech Technical University in Prag.

Bei der Überwachung der Gruppe fanden die Forscher auch heraus, dass die Hacker oft mit ihrer Arbeit unzufrieden waren – trotz des augenscheinlichen Erfolgs ihrer Operation. Ein Chat-Log offenbart beispielsweise eine Kommunikation, in der ein Mitglied versucht, das andere davon abzuhalten, die Gruppe zu verlassen.

Die Chat-Logs enthielten aber auch Details über finanzielle Transaktionen und die Entwicklung von Malware. Zudem tauchten immer wieder Nutzernamen von zwei Anführern der Geost-Gruppe auf. Diese Namen verwendeten sie offenbar auch auf anderen Websites.

Die Forscher gehen davon aus, dass die Gruppe immer noch aktiv ist und Zugriff auf ein riesiges Botnet von Android-Geräten hat. Ihre Malware sei zudem ein Beleg dafür, dass viele Kriminelle gerne auf Dinge zurückgriffen, die bereits vorhanden seien. „Sie wollen keine Jahre mit der Entwicklung verbringen – sie haben weder das Geld noch die Ressourcen dafür. Sie wollen nur Geld verdienen.“

WEBINAR

Webinar-Aufzeichnung: HPE Server mit AMD EPYC 2 stellen 37 Rekorde auf

Das Webinar informiert Sie über die neuen auf AMD EPYC 2 basierenden HPE Server. Erfahren Sie mehr über die erheblichen Leistungs- und Kostenvorteile, die die neue Architektur in der Praxis bietet. Jetzt registrieren und Webinar-Aufzeichnung ansehen.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

OSB Alliance kritisiert Ausschreibung des Kultusministerium des Landes Baden-Württemberg

Die Open Source Business Alliance sieht in der Bestimmung "Die Grundverwaltung von Identitäten und Gruppen erfolgt über ein Azure Active…

14 Stunden ago

OnePlus 7T mit 128 GByte Speicher für 434 Euro

Gearbest verkauft das OnePlus 7T mit 128 GByte Speicher etwa 165 Euro günstiger als hierzulande. Auch beim Spitzenmodell OnePlus 7T…

15 Stunden ago

Xiaomi stellt Redmi K30 und Redmi K30 5G vor

Beide Smartphones sind jeweils mit einem 6,67 Zoll großen Display mit einer Wiederholfrequenz von 120 Hertz ausgestattet. Die beiden Selfiekameras…

16 Stunden ago

Miles & More: Kunden berichten über Datenleck [UPDATE]

Kunden berichten, dass sie nach der Anmeldung beim Vielfliegerprogramm der Lufthansa fremde Profile angezeigt bekommen. Manche beklagen außerdem den Verlust…

21 Stunden ago

HR-Trends 2020: So wappnen sich Unternehmen für remote arbeitende Teams

Wie Menschen künftig zusammenarbeiten, und welche Anforderungen das an Unternehmen und ihre IT stellt, erläutert Mark Strassmann, Senior Vice President…

23 Stunden ago

Bericht: Chinas Behörden sollen auf ausländische Hard- und Software verzichten

Chinesischen Regierungsbehörden sollen einem Bericht der Financial Times zufolge, ausländische Hard- und Software innerhalb der nächsten drei Jahre mit heimischen…

2 Tagen ago