Android-Malware Alien stiehlt Geld

Die Sicherheitsforscher von ThreatFabric haben einen neuen Stamm von Android-Malware namens Alien entdeckt und analysiert, der mit einer Vielzahl von Funktionen ausgestattet ist, die es ihm ermöglichen, die Zugangsdaten von 226 Anwendungen zu stehlen.

Die Experten haben sich eingehend mit Forenbeiträgen und Alien-Beispielen befasst, um die Entwicklung, Tricks und Funktionen der Malware zu verstehen. Den Forschern zufolge ist Alien nicht wirklich ein neues Stück Code, sondern basierte eigentlich auf dem Quellcode einer rivalisierenden Malware-Gang namens Cerberus.

Cerberus, letztes Jahr noch ein aktives Malware-as-a-Service (MaaS), verpuffte dieses Jahr, als sein Besitzer versuchte, seine Code- und Kundenbasis zu verkaufen, bevor er sie schließlich umsonst durchsickern ließ.

ThreatFabric sagt, Cerberus sei ausgestorben, weil das Sicherheitsteam von Google einen Weg gefunden habe, infizierte Geräte aufzuspüren und zu säubern. Aber selbst wenn Alien auf einer älteren Cerberus-Version basierte, scheint Alien dieses Problem nicht zu haben, und das neue MaaS sprang ein, um die Lücke zu füllen, die der Untergang von Cerberus hinterlassen hatte.

Die Forscher sagen, dass Alien sogar noch weiter fortgeschritten ist als Cerberus, der ein durchaus angesehener und gefährlicher Trojaner war. Laut ThreatFabric gehört Alien zu einer neuen Generation von Android-Banking-Trojanern, die auch Fernzugriffsfunktionen in ihre Codebasen integriert haben.

Alien kann nicht nur gefälschte Anmeldebildschirme zeigen und Passwörter für verschiedene Anwendungen und Dienste sammeln, sondern es kann den Hackern auch Zugang zu Geräten gewähren, um diese Zugangsdaten zu verwenden oder sogar andere Aktionen durchzuführen.

Gegenwärtig verfügt Alien laut ThreatFabric über die folgenden Fähigkeiten:

• Kann Inhalte über andere Anwendungen legen (Funktion, die für Phishing-Anmeldedaten verwendet wird)
• Tastatureingaben protokollieren
• Bereitstellen von Fernzugriff auf ein Gerät nach der Installation einer TeamViewer-Instanz
• Ernten, Senden oder Weiterleiten von SMS-Nachrichten
• Kontaktliste stehlen
• Sammeln von Gerätedetails und App-Listen
• Sammeln von Geolokalisierungsdaten
• USSD (Unstructured Supplementary Service Data)  Anfragen stellen
• Anrufe weiterleiten
• Andere Anwendungen installieren und starten
• Browser auf gewünschten Seiten starten
• Sperren des Bildschirms für eine lösegeldähnliche Funktion
• Auf dem Gerät angezeigte Sniff-Benachrichtigungen
• Stehlen von Zwei-Faktor-Authentifizierung (2FA) Codes, die von Authentifizierer-Anwendungen generiert wurden

Das ist eine recht beeindruckende Reihe von Merkmalen. ThreatFabric erklärt, dass diese hauptsächlich für Banking-Betrug verwendet werden, wobei die Hacker auf Online-Konten zielen und nach Geld suchen.

Während der Analyse sagten die Forscher, sie hätten herausgefunden, dass Alien Unterstützung für die Anzeige gefälschter Anmeldeseiten für 226 andere Android-Anwendungen habe (vollständige Liste im ThreatFabric-Bericht).

Die meisten dieser gefälschten Anmeldeseiten zielten darauf ab, Anmeldedaten für E-Banking-Anwendungen abzufangen, was ihre Einschätzung, dass Alien für Betrügereien gedacht war, eindeutig stützt.

Alien zielte jedoch auch auf andere Anwendungen ab, wie E-Mail-, Social-, Instant-Messaging- und Krypto-Währungs-Anwendungen (d.h. Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp usw.).

Die meisten Bankanwendungen, auf die die Entwickler von Alien abzielten, waren für Finanzinstitute mit Sitz vor allem in Spanien, der Türkei, Deutschland, den USA, Italien, Frankreich, Polen, Australien und Großbritannien bestimmt.

ThreatFabric machte keine Detailangaben, wie Alien seinen Weg auf die Geräte der Benutzer findet, vor allem, weil dies davon abhängt, wie sich die Alien-MaaS-Kunden (andere kriminelle Gruppen) für die Verbreitung entschieden haben.

Historisch gesehen wird Android-Malware jedoch häufig in Anwendungen getarnt, die über inoffizielle App-Stores von Drittanbietern vertrieben werden, oder in Anwendungen, die auf Websites von Drittanbietern gehostet werden und über dubiose Werbung an Benutzer verkauft werden.

Einige mit Malware verseuchte Anwendungen schaffen es ab und zu in den Play Store, aber meistens werden sie über andere Kanäle verbreitet.

Diese zwielichtigen Anwendungen können leicht entdeckt werden, da sie häufig erfordern, dass die Benutzer ihnen Zugang zu einem Admin-Benutzer oder einem Zugangsdienst gewähren.

Wie selbstverständlich der Ratschlag „Installieren Sie keine Anwendungen von zwielichtigen Websites und gewähren Sie ihnen Admin-Rechte“ auch klingen mag, sind dennoch nicht alle Android-Benutzer technisch versiert genug, um ihn zu verstehen.

Viele Anwender werden Anwendungen von jedem beliebigen Ort herunterladen und installieren und sich dann während der Installation einfach durch alle Eingabeaufforderungen klicken. Deshalb ist Android-Malware heutzutage in Hackerforen ein großes Geschäft.

ThreatFabric empfiehlt allen Finanzinstitutionen dringend, ihre gegenwärtige und zukünftige Bedrohungslage zu verstehen und folglich die entsprechenden Erkennungs- und Kontrollmechanismen zu implementieren.