Betrug durch Mobile Malware

Die Nutzung mobiler Apps hat in den vergangenen Jahren kontinuierlich zugenommen. Laut einem Report von Adjust hatte sich die Download-Rate bereits 2020 im Vergleich zum Vorjahr verdoppelt. Im Schnitt installierte jeder Smartphone-Besitzer rund 40 Apps auf seinem Endgerät – Tendenz steigend. Bis Ende dieses Jahres könnten laut Studie weitere 250 Milliarden Apps heruntergeladen werden.

Mit der Verbreitung der Apps nimmt auch die Zahl der Cyber-Angriffe auf mobile Geräte zu. Die Methoden dabei sind vielfältig. Neben ausgeklügelten Social-Engineering-Attacken, die den Nutzer dazu bringen, Malware auf das Handy zu laden, gibt es auf offiziellen und inoffiziellen App-Marktplätzen immer mehr gefälschte Anwendungen. Ist eine App erst einmal heruntergeladen, installiert sich ein Trojaner und ermöglicht es den Cyber-Kriminellen, Informationen auszuspionieren oder weitere Schadsoftware nachzuladen. Implementiert der Hacker beispielsweise einen Remote Access Trojaner (RAT) auf dem Smartphone, kann dieser die administrative Kontrolle über das Gerät übernehmen und Anmeldedaten für eine Banking-App oder auch Einmal-Passwörter abfangen. Der User bemerkt davon zunächst nichts. Einer Untersuchung von BioCatch zufolge handelte es sich im zweiten Quartal 2021 bei einem von 24 Betrugsfällen um einen RAT-Angriff.

Einblick in einen FluBot-Angriff

Ein Beispiel für Mobile Malware ist der Trojaner FluBot, der sich Anfang des Jahres in Deutschland stark verbreitet hat. Die Schadsoftware kommt hauptsächlich beim Diebstahl von Bank-, Kontakt-, SMS- und anderen privaten Daten zum Einsatz und wurde Anfang 2020 erstmals entdeckt. Um eine hohe Reichweite zu generieren, also möglichst viele Geräte zu infizieren, nutzen die Hacker Social-Engineering-Attacken. Die Betroffenen erhalten zumeist eine SMS-Nachricht von einem vermeintlichen Paket-Zusteller, die einen Phishing-Link enthält. Klickt die Person auf den Link, wird sie auf eine gefälschte Webseite gelenkt. Der Schadcode wird als Android-Service auf dem Smartphone implementiert und agiert im Hintergrund. Dadurch kann er sich dauerhaft im Endgerät einnisten, ohne erkannt zu werden. Nach dem Herunterladen erhält er weitreichende Berechtigungen und beginnt sofort mit dem Scannen der auf dem Gerät installierten Anwendungen. Der Trojaner initiiert zudem sogenannte Overlay-Angriffe, die das Opfer verleiten, seine Anmeldedaten auf der gefälschten Oberfläche einzugeben. Auf diese Weise gelangt der Hacker schließlich an sensible Informationen wie Bankdaten. Zudem ist FluBot in der Lage, Kryptowährungen zu stehlen. Für die Betroffenen ist es schwierig, den Trojaner zu erkennen und zu löschen. Und wenn Kriminelle Zugriff auf die Login- und Kontodaten erhalten, können sie im Namen ihrer Opfer Überweisungen tätigen und damit hohe finanzielle Schäden verursachen.

Die Erkennung von Malware auf mobilen Endgeräten stützt sich vor allem auf gängige Antiviren-Technologien, die nach dem Namen einer verdächtigen Datei suchen und Apps und deren Hashes regelmäßig auf Schadsoftware überprüfen. Diese Methode stieß allerdings in den vergangenen Jahren immer wieder an ihre Grenzen. Denn um den Antiviren-Scan zu umgehen, konzipieren die Hacker ihre Malware so, dass sich deren Dateiname kontinuierlich ändert. Die Liste an Schadsoftware, mit der sie mobile Geräte angreifen, wird zudem immer länger und die Methoden immer ausgefeilter. Da in den vergangenen zwei Jahren verstärkt mobile Endgeräte für Bankgeschäfte genutzt werden, ist davon auszugehen, dass künftig zunehmend Malware für Smartphones kursiert.

Mobile Malware mit Verhaltensbiometrie erkennen

Abhilfe schaffen Verfahren auf Basis von Verhaltensbiometrie. Damit lässt sich erkennen, wenn ein Cyber-Krimineller die Bankdaten durch Mobile Malware exfiltriert hat und Überweisungen tätigt. Mithilfe von künstlicher Intelligenz und Machine Learning können Sicherheitsexperten echte Nutzer von Betrügern unterscheiden. So navigiert ein Krimineller bei einer Transaktion schneller auf dem Endgerät, da er mit dem Prozess vertraut ist und die gestohlenen Daten beispielsweise per Copy und Paste in die Überweisungsmaske eingibt. Auch veränderte Berührungs- und Wischmuster sind ein Indikator, wenn sie von ursprünglichen Sitzungen abweichen. Dies kann darauf hindeuten, dass der Benutzer keine Kontrolle über das mobile Endgerät hatte, weil ein Remote-Access-Trojaner in das Smartphone eingeschleust wurde. So wurde beobachtet, dass sich das Endgerät bei einem Betrugsversuch via RAT während der kompletten Dauer einer Kontositzung in einer flachen Haltung befand. Im Vergleich dazu bewegt der echte Nutzer das Smartphone, die Haltung ändert sich also während einer Sitzung mehrmals.

Aus der Analyse der Berührungs- und Wischmuster von betrügerischen und echten Sitzungen und dem anschließenden Vergleich mit früheren Aktivitäten des echten Kontoinhabers ergeben sich typische Schemata:

• In keinem Bereich auf dem Smartphone wird eine Berührung getätigt. Das deutet auf eine RAT-Attacke hin, bei der das Gerät ferngesteuert wird.
• Wischbewegungen erfolgen an einer anderen Stelle des Displays als bei den vorherigen Kontositzungen. Das deutet darauf hin, dass der Nutzer während der Sitzung keine Kontrolle über das Gerät hat.
• Das Gerät wird während der kompletten Sitzung in ein- und derselben Position gehalten, etwa weil es auf dem Tisch liegt. Ein echter Nutzer würde das Smartphone bewegen.

Stellt die Software auf Basis von Verhaltensbiometrie und Machine Learning mehrere betrügerische Merkmale in Kombination fest, geht bei den Sicherheitsexperten der Bank ein Alarm ein. Dadurch können Finanzinstitute vorsorglich in einen Betrugsversuch eingreifen, bevor dem Kunden und der Bank ein finanzieller Schaden entsteht.