Neue Android-Malware Malibot

Die neue Android Malware wurde von den Cybersecurity-Forschern von F5 Labs beschrieben, die sie MaliBot nennen. Es ist die jüngste in einer Reihe von leistungsstarker Malware, die auf Android-Nutzer abzielt.

MaliBot kann nicht nur Passwörter, Bankdaten und Kryptowährungsbörsen aus der Ferne stehlen, sondern auch auf Textnachrichten zugreifen, Webbrowser-Cookies stehlen und Bildschirmfotos von infizierten Android-Geräten machen. Außerdem kann er die Multi-Faktor-Authentifizierung (MFA) umgehen – eine der wichtigsten Sicherheitsvorkehrungen, mit der sich Nutzer vor Cyberkriminellen schützen können.

Wie viele Android-Malware-Bedrohungen wird auch MaliBot verbreitet, indem Phishing-Nachrichten per SMS an die Telefone der Nutzer gesendet werden (Smishing) oder die Opfer auf betrügerische Websites gelockt werden. In beiden Fällen werden die Opfer aufgefordert, auf einen Link zu klicken, über den Malware auf ihr Telefon heruntergeladen wird.

Bislang haben die Forscher zwei bösartige Websites gefunden, die zur Verbreitung von MaliBot genutzt werden. Bei der einen handelt es sich um eine gefälschte Version einer legitimen Cryptocurrency-Tracker-App, die bereits mehr als eine Million Mal aus dem Google Play Store heruntergeladen wurde.

Nach dem Herunterladen bittet MaliBot das Opfer heimlich darum, die Zugriffs- und Startberechtigungen zu erteilen, die er benötigt, um das Gerät zu überwachen und bösartige Aktionen durchzuführen. Dazu gehören der Diebstahl sensibler Informationen wie Passwörter und Bankdaten sowie die Manipulation des Geräts, um das Opfer zur Preisgabe zusätzlicher Informationen zu zwingen – was durch den Diebstahl von Codes für die Multi-Faktor-Authentifizierung geschieht.

Android-Nutzer sollten die zweistufige Verifizierung verwenden, die Konten vor dem Zugriff durch Eindringlinge schützen soll, selbst wenn das Passwort bekannt ist.

Sobald MaliBot die Anmeldedaten auf dem Gerät erfasst hat, kann er die Multi-Faktor-Authentifizierung umgehen, indem er die Zugriffsberechtigungen nutzt, um bei der Abfrage, ob der Benutzer versucht, sich anzumelden, auf die Schaltfläche „Ja“ zu klicken. Wenn ein Benutzer dies sieht, könnte er es verdächtig finden, aber der MaliBot gewährte Zugriff könnte ein Overlay über die Eingabeaufforderung legen, so dass sie nicht gesehen wird.

MaliBot verwendet eine ähnliche Technik, um zusätzliche Schutzmechanismen für Kryptowährungs-Wallets zu umgehen, so dass die Angreifer Bitcoin oder andere Kryptowährungen von Konten stehlen können, die mit dem infizierten Android-Smartphone verbunden sind.

MaliBot stiehlt nicht nur sensible Daten und Währungen des Opfers, sondern ist auch in der Lage, SMS-Nachrichten zu versenden, mit denen andere mit der Malware infiziert werden können – eine ähnliche Taktik wie die, mit der die Malware FluBot so erfolgreich wurde.

Derzeit zielt die MaliBot-Kampagne ausschließlich auf Kunden spanischer und italienischer Banken ab, aber die Forscher warnen, dass „wir davon ausgehen können, dass im Laufe der Zeit eine breitere Palette von Zielen in die App aufgenommen wird“.

Während sich die Malware auf den Diebstahl von Bankdaten und Kryptowährungen konzentriert, wird davor gewarnt, dass die leistungsstarken Funktionen von MaliBot, die die Kontrolle über ein infiziertes Gerät ermöglichen, „für ein breiteres Spektrum von Angriffen als den Diebstahl von Anmeldedaten und Kryptowährungen genutzt werden könnten“.

Um zu vermeiden, dass sie Opfer von MaliBot oder anderen Android-Malware-Angriffen werden, sollten Nutzer vorsichtig sein, wenn sie Links in unerwarteten Textnachrichten folgen, und sie sollten vorsichtig sein, wenn sie Apps von Websites Dritter herunterladen.

Die Nutzer sollten sich auch der Risiken bewusst sein, die mit der Aktivierung von Zugriffsoptionen verbunden sind – diese haben zwar einen legitimen Nutzen, werden aber auch häufig von Cyberkriminellen missbraucht.